XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT XİDMƏTİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ MƏRKƏZİ

İnsident bildir

Xəbərlər > 3 milyondan çox saytın istifadə etdiyi WordPress Nüsxələmə Plaqinində kritik boşluq aşkar edilmişdir.

24 Fev 2022

Üç milyondan çox quraşdırılan WordPress nüsxələmə plaqini UpdraftPlus-a "ciddi" təhlükəsizlik boşluğu ehtiva edən patch-lar buraxılmışdır, bu da boşluğun mövcud olduğu saytlardakı hesabdan istifadə edərək saytın şəxsi məlumatlarını yükləmək üçün istifadə oluna bilər. Plaqin proqram təminatçıları qeyd ediblər ki,  "2019-cu ilin mart ayından etibarən UpdraftPlus-un bütün versiyalarında boşluq müəyyən olunub, bu etibarsız istifadəçilərə heç bir yoxlanma aparılmadan nüsxələrə giriş imkanı verilməsi nəticəsində baş verib".

Automattic şirkətindən təhlükəsizlik üzrə tədqiqatçı Mark-Aleksandr Montpas fevralın 14-də CVE-2022-0633 (CVSS balı: 8.5) identifikasiya nömrəsi ilə təyin edilmiş boşluğu aşkar etdiyi və bu haqda hesabat verdiyi üçün təltif edilib. Problem  UpdraftPlus -ın 1.16.7-dən 1.22.2-yə qədər olan versiyalarına təsir göstərir. UpdraftPlus WordPress idarəetmə paneli vasitəsilə bərpa edilə bilən, WordPress fayllarının, verilənlər bazalarının, plaqinlərin və mövzuların tam, əl ilə, yaxud planlaşdırılmış nüsxələnməsi prosesini həyata keçirə bilən bərpa və nüsxələmə həllidir. Nəticə olaraq bu təhlükəsizlik boşluğu, UpdraftPlus quraşdırılmış WordPress bazasına daxil olmuş istənilən istifadəçiyə mövcud nüsxəni yükləməyə imkan verir. Baxmayaraq ki, bu cür icazələr yalnız inzibatçılar üçün nəzərdə tutulmalı idi.

 WordPress təhlükəsizlik şirkəti Wordfence bildirir ki, parolların və digər məxfi məlumatların sızmasından başqa, “bəzi hallarda kiber hücumçu konfiqurasiya faylından verilənlər bazasına giriş əldə edə və sayt verilənlər bazasına uğurla daxil ola bilərsə, o zaman saytın ələ keçirilməsinə səbəb ola bilər”. 

UpdraftPlus plagininin istifadəçilərinə potensial təhlükənin təsirini azaltmaq üçün proqramı 1.22.3 (və ya Premium versiya üçün 2.22.3) versiyasına yeniləmələri tövsiyə olunur. Fevralın 17-də mövcud olan ən son versiya PHP 8-də avtomatik  nüsxələmə funksiyalarının çapı ilə bağlı səhvləri həll edən 1.22.4-dür.