Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем 3 млн установок

19.02.2022 08:37

В WordPress-дополнении UpdraftPlus, имеющем более 3 млн активных установок, выявлена опасная уязвимость (CVE-2022-0633), позволяющая стороннему пользователю загрузить копию базы данных сайта, в которой кроме контента содержатся параметры всех пользователей и хэши паролей. Проблема устранена в выпусках 1.22.3 и 2.22.3, которое рекомендуется как можно скорее установить всем пользователям UpdraftPlus.

UpdraftPlus преподносится как наиболее популярное дополнение для создания резервных копий сайтов, работающих под управлением платформы WordPress. Из-за некорректной проверки прав доступа дополнение позволяло загрузить резервную копию сайта и связанную с ней базу данных не только администраторам, но и любому зарегистрированному на сайте пользователю, например, имеющему статус подписчика.

Для загрузки резервных копий в UpdraftPlus используется идентификатор, генерируемый на основе времени создания резервной копии и случайной последовательности (nonce). Проблема в том, что из-за отсутствия должных проверок в обработчике heartbeat-запросов, при помощи специально оформленного запроса любой пользователь может получить информацию о последней резервной копии, которая в том числе включает сведения о времени и привязанной случайной последовательности.

Далее на основе полученной информации можно сформировать идентификатор и загрузить резервную копию, воспользовавшись методом загрузки по email. Используемая при данном методе функция maybe_download_backup_from_email требует обращения к странице options-general.php, доступной только администратору. Тем не менее, атакующий может обойти данное ограничение через спуфинг используемой при проверке переменной $pagenow и отправку запроса через служебную страницу, допускающую обращение непривилегированных пользователей. Например, можно обратиться через страницу отправки сообщения администратору, отправив запрос в виде "wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus".

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56726-wordpress

Ключевые слова: wordpress, updraftplus

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (79)

1.1, жявамэн (ok), 09:15, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	–12 +/–
Пхп

2.2, Аноним (2), 09:42, 19/02/2022 [^] [^^] [^^^] [ответить]	+22 +/–
С вашим ником как-то log4j вспомнился...

3.4, Аноним (4), 10:18, 19/02/2022 [^] [^^] [^^^] [ответить]	–3 +/–
Так в пхп и конкретно в вордпрессе дыры уровня log4j каждую неделю происходят, ор.

4.36, Тинус Лорвальдс (ok), 12:59, 19/02/2022 [^] [^^] [^^^] [ответить]	+2 +/–
таки каждую неделю? да ещё и уровня log4j? какую ещё бредятину ты здесь напишешь? https://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/year

5.63, Аноним (-), 15:19, 19/02/2022 [^] [^^] [^^^] [ответить]

–1 +/–

>> Так в пхп и конкретно в вордпрессе
> таки каждую неделю? да ещё и уровня log4j? какую ещё бредятину ты
> здесь напишешь?
> https://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/year

Ты при копировании ссылки немного ошибся:
https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/W

6.68, Тинус Лорвальдс (ok), 16:32, 19/02/2022 [^] [^^] [^^^] [ответить]	–2 +/–
утверждение было про пхп. претензия мимо.

1.3, Аноним (4), 10:18, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Целая неделя без критических дыр в вордпрессе? Это победа я считаю срочно всем переходить на вордпресс.

1.5, Иваня (?), 10:22, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Про WordPress можете больше не писать таких новостей. WordPress is the default hole. ^_^/

1.6, bOOster (ok), 10:33, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
WordPress это вообще сплошная дырка от бублика. Ну или butthole, в которую регулярно, что-то пихают.

2.10, bugmenot (??), 11:04, 19/02/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Лишь бы накинуть... Сам по себе ВП безопасный и дыр а нем не много, в основном все старые. Уязвимость в стороннем ПЛАГИНЕ, который может написать любой.

3.16, Аноним (16), 11:37, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
И что это меняет, а в node.js дыры в npm. Чем от это вордпресс-то выигрывает. Может вордпрессу простоя заняться аудитом плагинов. Но нет они будет ждать пока им напихают побольше дыр.

4.30, Аноним (30), 12:31, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Зачем им проводить аудит сторонних плагинов, это же работать надо... Бесплатно работать, проверять тысячами штук.

5.85, Sylvia (ok), 00:25, 20/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
проверяют, но, как известно всё всё всё проверить на абсолютно всё нельзя. Хотя я честно говоря не понимаю тех, кто использует плагины для бэкапов, mysqldump + tar по крону, просто и надежно ;)

4.31, Аноним (30), 12:33, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Покажите дыры в npm. Хотя бы 3

5.41, Аноним (41), 13:12, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Как заказывали: https://www.cvedetails.com/product/44073/Npmjs-NPM.html?vendor_id=13253 Три шт.

6.76, Аноним (30), 18:51, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
3 уязвимости за примерно 10 лет это считай что нет

7.79, Аноним (41), 19:01, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Вы попросили, я дал. Не прорабатывал вопрос. Не могу сказать с какого момента в источнике идет наблюдение. Так или иначе, нода не плохой инструмент. Был. Будущее таки за wasm.

5.54, Аноним (16), 14:22, 19/02/2022 [^] [^^] [^^^] [ответить]

+/–

Ор ты серьёзно собрался защищать безопасность npm?

В npm есть дыры в любых количествах

https://www.opennet.ru/opennews/art.shtml?num=56318
https://www.opennet.ru/opennews/art.shtml?num=56104
https://www.opennet.ru/opennews/art.shtml?num=56479

2.90, vitektm (?), 23:51, 20/02/2022 [^] [^^] [^^^] [ответить]	+/–
Напиши крутую CMS завоюй долю равную хотя бы 1/10 , и тогда можешь кричать они бракоделы, а я рыцарь в доспехах. Пока ты балобол не более

3.92, bOOster (ok), 04:31, 22/02/2022 [^] [^^] [^^^] [ответить]	+/–
> Напиши крутую CMS завоюй долю равную хотя бы 1/10 , и тогда > можешь кричать они бракоделы, а я рыцарь в доспехах. Пока ты > балобол не более Ты дурaчек чтоле? В 90% CMS сайту вообще не нужна. Поэтому проще один раз выдать из любой CMS традиционный HTML без динамического содержимого, чтобы от дыр избавится полностью.

1.7, Аноним (7), 10:41, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
На чом написано? ;) Уж не буду про кем..

2.12, bugmenot (??), 11:05, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
А причем тут ЯП?

3.13, Аноним (7), 11:15, 19/02/2022 [^] [^^] [^^^] [ответить]	–2 +/–
А он тут вообще на первом месте! А на втором - обезьяна, которая его выбирает.

4.32, Аноним (30), 12:34, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Вы на чем пишете? Покажите свой код

5.35, Аноним (7), 12:55, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
На Tcl, бугога!

6.75, Аноним (30), 18:49, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Покажите, что вы на TCL написали.

5.55, Аноним (16), 14:23, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Давай теперь ты показывай. Ой ты же совсем забыл что ты не программист!

2.57, Аноним (57), 15:01, 19/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Надо было писать на Rust.

3.60, Аноним (60), 15:14, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Ловкий проход в раст защитан.

1.8, Аноним (41), 10:51, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
ВП еще жив? Я думал прогрессивная общественность давно на пито/растах что-то новое сваяла!

2.11, Аноним (-), 11:05, 19/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Бум веб-движков остался в нулевых. Что касается пито/растов, то на них будут свои, пито/растские дыры.

3.14, Аноним (41), 11:22, 19/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
А что сейчас в моде? Использовать фреймворки на каждый чих, чтобы больше лута на котегов собирать? Имея при этом больше половины готового своего и в виде либ. Этакий красивый развод на деньги? Не то что старперы, наплодили этих движков, да еще и модулей под 100500 задач и сидели на хлебе и воде. Голодранцы! Так получается?

3.37, Аноним (37), 13:04, 19/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
> пито/растские дыры. *Пито/Растовые

2.17, Аноним (16), 11:39, 19/02/2022 [^] [^^] [^^^] [ответить]	–1 +/–
На расте ничего не написано.

3.22, Аноним (41), 11:48, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Дык и на питонах особо цмс популярных я не знаю.

4.25, Аноним (16), 12:14, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Джанго, Фласк для модных aiohttp, больше ничего не нужно.

5.38, Аноним (41), 13:07, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
А давно джанга цмсом стала?

6.43, Аноним (16), 13:15, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Всегда был. К aiohttp вопросов сильно больше.

7.46, Аноним (46), 13:26, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Aiohttp кстати топ, какие к нему вопросы?

8.61, Аноним (60), 15:15, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Например почему он такой 8230 асинхронный и что теперь с этим всем делать ... текст свёрнут, показать

7.52, Аноним (41), 14:14, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Кто был? Что был? Где был? Django is a high-level Python web framework. Так на оф сайте пишут. Врут?

8.84, . (?), 22:09, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
про high-level точно врут Про цэмес не врут, ее еще на чудо-фреймворке написать... текст свёрнут, показать

6.49, th3m3 (ok), 13:59, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Давно существует Django CMS. Погугли)

7.53, Аноним (41), 14:16, 19/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Серьезно? Ну так-то у зопы плоун существует. Только где ВП и где вот это вот все... Не сурьезно!

8.56, th3m3 (ok), 14:48, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Там вопрос был про CMS на Django А что WP С этого г внища бегут на ту же Djang... текст свёрнут, показать

9.58, Аноним (41), 15:06, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Не совсем Вопрос изначально был про цмс на пито растах Вот у пыхарей есть всяк... текст свёрнут, показать

10.59, Аноним (60), 15:13, 19/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Всё есть на питоне просто ты не можешь этого понять так как пыхер ... текст свёрнут, показать

11.66, Аноним (41), 16:09, 19/02/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Посоны, вы уж определитесь То я пыхарь, то скрипты командного интерпретатора - ... текст свёрнут, показать

10.64, th3m3 (ok), 15:20, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Ок Всё есть Даже на Расте уже ... текст свёрнут, показать

11.67, Аноним (41), 16:10, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Списочек не дадите А если сразу с статистикой использования, то просто будет вы... текст свёрнут, показать

1.15, Аноним (15), 11:30, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Причём тут дополнение если проблема не в нём? Проблема в том, что из-за отсутствия должных проверок в обработчике heartbeat-запросов WordPress, при помощи специально оформленного запроса любой пользователь может получить информацию о последней резервной копии, которая в том числе включает сведения о времени и привязанной случайной последовательности.

2.19, Типичный бизнес (?), 11:42, 19/02/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Не рушь нам мир, вордпресс идеален. Пхп — лудшЭй! 1С — это сила!

3.21, Аноним (41), 11:45, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Так 1с - это битрахс. Тут же вроде ВП обсуждаем. И таки да, из двух зол выбираем меньшее!

4.47, пох. (?), 13:27, 19/02/2022 [^] [^^] [^^^] [ответить]

–3 +/–

Да кто бы врал-то? Вы, рюйске, из двух зол всегда выберете самого Шайтана, если он вам пообещает на рупь дешевле. А поскольку вротпресс шва...бесплатен, то ежу понятно что вы выберете.

5.50, Аноним (41), 14:13, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Пох, превед. Снова не приняли пилюлю по утру? Мы выберем инструмент под задачу и бюджет. Для сайта какой-нибудь конференции матанов - вротпресс. Для инторнет барыг - битрахс. Взрослый дядька, а все туда же. Аяяй.

2.23, Аноним (23), 12:00, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Нет этого дополнения нет резервных копий.

3.29, пох. (?), 12:31, 19/02/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Ну да, dump-то л@п4атые отменили.

2.26, Аноним (26), 12:18, 19/02/2022 [^] [^^] [^^^] [ответить]

+3 +/–

> Причём тут дополнение если проблема не в нём?

Дополнение тут при том, что проблема именно в нём.

CMS с излишнем контролем дополнений будет сильно их ограничивать, от чего пользователей и плагинов будет мало, а дыр -- столько же.
Поэтому во всех вменяемых CMS дополнения могут почти всё.
Поэтому WP -- вменяемая CMS, требующая ответственного сопровождения вменяемыми вебмастерами.

3.34, Аноним (16), 12:55, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Дыр будет конечно же меньше. А обвиняя плагины даже ты пытаясь неумело защитить дырковордпресс, только отбрасываешь на него еще большую тень. Даже в твоём манямирке важен результат. А результат написано в теме и в сотне точно таких же тем на тему дырок в вп в миллионе сайтов.

1.24, псевдонимус (?), 12:02, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Стабильность признак мастерства.

2.62, Аноним (60), 15:16, 19/02/2022 [^] [^^] [^^^] [ответить]

+/–

И стабильные мастерские комментарии

1.27, Аноним (26), 12:26, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]

+3 +/–

Количество злорадствующих в комментах зашкаливает.

Поэтому надо заметить: большинство жалующихся -- недопрогеры, не способные осилить ни документацию, ни код WP, который прост и хорошо прокомментирован.
Основными аргументами данных граждан являются "а чё вы хотели за эти деньги?", "а чё вы хотели от WP?" и "а чё вы хотели, это же PHP!".

В ошибках данных людей виноват всегда интерпретатор, компилятор, используемые библиотеки, непонятная документация, техподдержка, хостеры, заказчик или государство.
Собственная белопушистость сомнению не подвергается никогда.

Таких много всегда и везде.
Поэтому игнорируйте недалёких, и будет вам счастье.

2.65, Дегенератор (ok), 15:37, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Посмотришь, что ты запоешь лет через 5ть, когда поймешь, что катить камень в гору зае... да и зачем?

3.74, Аноним (74), 18:33, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Товарищ не в курсе что сайты на ВП делают один раз и никогда не поддерживают. А того кому ты заказал сделать сайт ты больше никогда не найдешь, хотя даже искать не будешь. Зачем всё же работает.

4.80, пох. (?), 19:15, 19/02/2022 [^] [^^] [^^^] [ответить]

–1 +/–

Если что-то и не работает или возникли новые идеи - ищется ДРУГОЙ (такой же точно первый попавшийся) голодный киевский вайтишник за 350 ржублей.

И, о чудо - он может разобраться что сделал предыдущий и допилить недостающее - вот ровно за тот мелкий прайс.

В этом, собственно, и заключается смысл использования вротпресса вместо васян-технологий на пихоне.
Когда что там понахреначено с использованием того джанка или как он там называется - не может понять через год никто, включая того самого васяна, если его каким-то чудом и удается привлечь.

5.86, Аноним (86), 07:22, 20/02/2022 [^] [^^] [^^^] [ответить]	+/–
Попытайся уже хотя бы сейчас в логику. Я понимаю, возраст, это сложно, но просто попробуй. Если для заказчика 350 рублей уже целая проблема. Зачем ему вообще кого-то искать? Контакты на сайте он и сам может поменять. Текст в своём бложике тоже. Если на сервер через ВП залезет зловред владельца сайта это будет беспокоить ровно никак. Велика вероятность что даже в админку сайта он больше никогда не зайдет. И ни за какую «поддержку» он как ты понимаешь никогда не заплатит. И все равно заработает свои бабки, на каком-нибудь оффлайновом ремонте обуви.

1.51, Онаним (?), 14:14, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Тот случай, когда название точно соответствует действительности.

1.71, Смузихлёб (?), 18:09, 19/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Это надо себя максимально не уважать, чтобы использовать сторонние дополнения от васяна, вместо того чтобы пошевелить мозгами и написать самому.

2.72, Аноним (41), 18:14, 19/02/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Ваистену так! А как насчет написать новый инторнет, свободный от смуззи/котегов и гуглов?

3.78, Смузихлёб (?), 18:59, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
> Ваистену так! > А как насчет написать новый инторнет, свободный от смуззи/котегов и гуглов? ВНЕЗАПНО в крупных компаниях так и есть.

4.83, Аноним (41), 20:32, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
Речь не о том. А о противодействии монополизации гули.

3.81, пох. (?), 19:17, 19/02/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Да он в день по гуглю пишет. Если, конечно, в этот день не пишет фейсбук - тогда получается только пол-гугля.

4.82, Аноним (41), 20:31, 19/02/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Пох, не хорошо говорить о человеке в третьем лице в его присутствии. Вы сами придумали, или подсказал кто?

5.88, Аноним (88), 10:33, 20/02/2022 [^] [^^] [^^^] [ответить]	+/–
Вполне допустимый диалектизм

2.73, Аноним (74), 18:31, 19/02/2022 [^] [^^] [^^^] [ответить]	+/–
А если плагин идет в комплекте с темой. А тему ты просто нашел в инете. Сразу тебе могу ответить ты поставишь все по дефолту и никогда обновлять не будешь. И чтобы ты сейчас не говорил в реальности это будет так.

3.77, Смузихлёб (?), 18:58, 19/02/2022 [^] [^^] [^^^] [ответить]	+3 +/–
> А если плагин идет в комплекте с темой. Зачем ставить тему от васяна с не пойми каким количеством зондов? Ну а если хочется кастома, то будь добр найми дизайнера и верстальщика.

4.87, Аноним (86), 07:24, 20/02/2022 [^] [^^] [^^^] [ответить]	+/–
Она же КРАСИВАЯ, как же до тебя не дойдет.

2.91, vitektm (?), 23:55, 20/02/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Можно пойти дальше написать свою cms и свой jquery. Ну а еще свою ОС и в гараже по ночам делать свои микросхемы, да что там микросхемы свои резисторы

1.89, gagagaga (?), 15:26, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ставим плагин,вроде нет уязвимостей :D

игнорирование участников | лог модерирования

Добавить комментарий

Текст: