Op 17 februari ontdekte Marc Montpass van het Wordfence Threat Intelligence Team een kwetsbaarheid in UpdraftPlus, een van de meest gebruikte backup plugins voor WordPress. Inmiddels is een update met patch uitgerold om de kwetsbaarheid te verhelpen.
Kwetsbaarheid in UpdraftPlus plugin
UpdraftPlus is een backup plugin voor WordPress met meer dan 3 miljoen actieve installaties. Een van de features die de plugin biedt is de mogelijkheid om een download link naar een zelfgekozen emailadres te sturen, waarmee vervolgens een van de backups die met de plugin zijn gemaakt gedownload kan worden. De kwetsbaarheid in UpdraftPlus die door Wordfence werd aangetroffen, zorgt dat elke gebruiker die op de website is ingelogd (inclusief abonnees) deze backups kunnen downloaden. Backups bevatten grote hoeveelheden gevoelige data. Vaak zitten daar configuratiebestanden bij, welke gebruikt kunnen worden om toegang tot de database van de website te verkrijgen.
Update met patch
Inmiddels is er een update met patch beschikbaar: versie 1.22.3. Gebruikers van UpdraftPlus die niet de meest recente versie van de plugin hebben geïnstalleerd, worden dringend geadviseerd om dit onmiddellijk te doen. Gebruikers van Wordfence Premium, Care en Response hebben overigens al een firewall rule ontvangen die bescherming biedt tegen misbruik van de kwetsbaarheid. Gebruikers van de gratis Wordfence versie ontvangen deze op 19 maart.
Meer weten?
Voor meer informatie met betrekking tot deze kwetsbaarheid in UpdraftPlus verwijzen we je naar de betreffende blogpost van Wordfence.