Milioni di siti WordPress stanno ricevendo in queste ore una patch di aggiornamento forzata. Il motivo è una vulnerabilità in UpdraftPlus, un popolare plug-in che consente agli utenti di creare e ripristinare i backup dei siti Web.
Come riferisce Ars Technica, gli sviluppatori di UpdraftPlus hanno richiesto la patch obbligatoria, poiché la vulnerabilità consentirebbe a chiunque disponga di un account di scaricare l’intero database di un sito Web.
Il bug è stato scoperto dal ricercatore di sicurezza di Jetpack, Marc Montpas, durante un audit di sicurezza del plugin:
Questo bug è abbastanza facile da sfruttare. Ha consentito agli utenti con privilegi bassi di scaricare i backup di un sito, che includono backup di database non elaborati
Il bug è stato corretto il giorno dopo la rivelazione. Già lo scorso giovedì le patch sono state inviate a 1,7 milioni di siti. Il difetto principale era che UpdraftPlus non implementava correttamente la funzione “Hearbeat” di WordPress, controllando correttamente se gli utenti disponevano dei privilegi di amministratore. Un altro problema era una variabile utilizzata per convalidare gli amministratori, che potevano essere modificati da utenti non attendibili.
Ricordiamo che WordPress è stato violato all’inizio di quest’anno, ma in quel caso si trattava di una violazione indiretta tramite un hack di GoDaddy che ha esposto 1,2 milioni di account a vulnerabilità.
Ad ogni modo, chiunque stia eseguendo WordPress con il plug-in UpdraftPlus, dovrà necessariamente aggiornare plug-in alla versione 1.22.4 o successiva nella versione gratuita, o 2.22.4 e successive nell’app premium.
Ricordiamo che proprio nei giorni scorsi abbiamo realizzato una guida su cos’è, e come funziona, WordPress. Potete leggerlo direttamente a questo indirizzo.