Er is een kwetsbaarheid aangetroffen in de UpdraftPlus plugin, die door meer dan 3 miljoen WordPress websites gebruikt wordt. Inmiddels is er een update met patch beschikbaar: UpdraftPlus 1.24.12.
Over de UpdraftPlus plugin
De UpdraftPlus plugin maakt het heel eenvoudig om volledige backups van je WordPress website te maken. De plugin biedt veel flexibiliteit met betrekking tot wat je precies wil opslaan en waar, en hoeveel backups er bewaard moeten worden. Zo kun je de backups opslaan in de cloud, op de server of op een opslagservice zoals Dropbox. UpdraftPlus biedt daarnaast meerdere mogelijkheden voor het migreren van WordPress websites.
PHP Object Injection kwetsbaarheid
Volgens Wordfence zit er een zogeheten PHP Object Injection kwetsbaarheid in alle versies van de UpdraftPlus plugin tot aan versie 1.24.11.
“Er is geen bekende POP chain aanwezig in de kwetsbare software. Als er een POP chain aanwezig is via een extra geïnstalleerde plugin of thema op het doelsysteem, kan dit een aanvaller in staat stellen om willekeurige bestanden te verwijderen, gevoelige gegevens op te halen of code uit te voeren. Een beheerder zou een zoek-en-vervang-actie moeten uitvoeren om de exploit te activeren.”
In de UpdraftPlus changelog wordt de kwetsbaarheid geminimaliseerd. Er staat niets over dat de update wordt niet eens een security patch genoemd, er wordt slechts gesproken over een “tweak”.
UpdraftPlus 1.24.12 installeren
De kwetsbaarheid zit dus in alle voorgaande versies van de UpdraftPlus plugin. Wordfence geeft gebruikers daarom het dringende advies om de plugin onmiddellijk te updaten naar de meest recente versie. Op dit moment is dat UpdraftPlus 1.24.12.
Voor meer informatie over de kwetsbaarheid en de patch in UpdraftPlus 1.24.12 kun je de berichtgeving op de Wordfence website raadplegen.