Uma vulnerabilidade no UpdraftPlus: WP Backup & O plugin de migração afeta mais de 3 milhões de sites WordPress, permitindo que invasores não autenticados executem comandos como administradores. Essa falha permite que invasores carreguem e ativem plug-ins maliciosos, levando a uma possível execução remota de código.
UpdraftPlus é uma das soluções de backup mais utilizadas para WordPress, ajudando os usuários a criar backups, restaurar sites e migrar entre servidores. O plug-in oferece suporte ao armazenamento de backup em vários serviços remotos e em nuvem.
A vulnerabilidade não exige que um invasor faça login ou possua uma conta WordPress para ser explorada. Somente sites com uma chave Migrator ativa ou chave UpdraftCentral são suscetíveis a esse problema. Versões até 1.26.4 inclusive contêm a falha, que decorre de uma falha na função UpdraftPlus_Remote_Communications_V2::wp_loaded.
Esta falha de segurança é classificada como uma vulnerabilidade de desvio de autenticação, permitindo que os invasores contornem a verificação de identidade e as verificações de credenciais, permitindo-lhes executar ações de nível administrativo sem fazer login. Os invasores exploram essa falha devido à validação insuficiente dos formatos de mensagens de comunicação remota.
O Wordfence detalhou que a vulnerabilidade permite que invasores não autenticados forjem comandos RPC arbitrários que o plugin executa como administrador conectado. Isso significa que eles podem carregar e ativar plug-ins maliciosos, o que pode levar à execução remota de código nos sites afetados.
As consequências potenciais desta vulnerabilidade incluem riscos extensos, como infecção por malware, desfiguração de sites, acesso não autorizado e roubo de informações confidenciais. Surgiram evidências de tentativas ativas de explorar a falha, com o Wordfence relatando 8.172 ataques bloqueados visando esta vulnerabilidade em um período de 24 horas.
UpdraftPlus lançou um patch para o problema. Os usuários são fortemente aconselhados a atualizar suas instalações para a versão 1.26.5 ou mais recente imediatamente para proteger seus sites contra esta vulnerabilidade.
