Imagens Getty
Milhões de sites WordPress receberam uma atualização forçada no último dia para corrigir uma vulnerabilidade crítica em um plugin chamado UpdraftPlus.
O patch obrigatório veio a pedido dos desenvolvedores do UpdraftPlus devido à gravidade da vulnerabilidade, permitindo que assinantes, clientes e outros não confiáveis baixem o banco de dados do site, desde que tenham uma conta no site comprometido. Os bancos de dados geralmente contêm informações confidenciais sobre clientes ou configurações de segurança do site, deixando milhões de sites vulneráveis a graves violações de dados que vazam senhas, nomes de usuário, endereços IP e muito mais.
Resultados ruins, fáceis de explorar
O UpdraftPlus simplifica o processo de backup e restauração de bancos de dados de sites e é o plug-in agendador online mais usado para o sistema de gerenciamento de conteúdo WordPress. Ele simplifica o backup de dados para Dropbox, Google Drive, Amazon S3 e outros serviços em nuvem. Seus desenvolvedores também dizem que permite aos usuários agendar backups regulares e é mais rápido e usa menos recursos do servidor do que os plugins WordPress concorrentes.
“Este bug é muito fácil de explorar, com alguns resultados muito ruins se for explorado”, disse Mark Monpass, o pesquisador de segurança que descobriu a vulnerabilidade e informou os desenvolvedores do plugin. “Ele permitiu que usuários com poucos privilégios baixassem backups de sites, que incluem backups de banco de dados brutos. Contas com poucos privilégios podem significar muitas coisas. Assinantes regulares, clientes (em sites de comércio eletrônico, por exemplo), etc.”
Monpass, Pesquisador da Website Security Company Verificação do Jetpack, disse que descobriu a vulnerabilidade durante uma auditoria de segurança do plugin e forneceu detalhes aos desenvolvedores do UpdraftPlus na terça-feira. Um dia depois, os desenvolvedores publicaram uma correção e concordaram em forçá-la a ser instalada em sites WordPress que tinham o plugin instalado.
Estatísticas fornecidas pelo WordPress.org Exibe 1,7 milhão de sites receberam a atualização na quinta-feira e mais de 287.000 outros a instalaram até o momento. O WordPress diz que o plugin tem mais de 3 milhões de usuários.
Ao revelar a vulnerabilidade na quinta-feira, UpdraftPlus Escrevi:
Essa falha permite que qualquer usuário logado em uma instalação do WordPress com um UpdraftPlus ativo exerça o privilégio de baixar um backup existente, privilégio que deve ser restrito apenas a usuários administrativos. Isso foi possível devido à perda de permissões para verificar o código relacionado à verificação do estado atual do backup. Isso permitiu a obtenção de um identificador interno que de outra forma era desconhecido, que poderia ser usado para passar uma validação na permissão de download.
Isso significa que, se o seu site WordPress permitir que usuários não confiáveis façam login no WordPress e se você tiver algum backup existente, provavelmente estará vulnerável a um usuário tecnicamente experiente que descubra como baixar seu backup atual. Os sites afetados correm o risco de perda/roubo de dados por um invasor que acessa uma cópia do backup do site, se o site contiver algo que não seja público. Digo “tecnicamente qualificado” porque, nesse ponto, nenhuma evidência geral foi dada de como tirar proveito dessa exploração. Neste momento, você está contando com um hacker que está fazendo engenharia reversa de alterações na versão mais recente do UpdraftPlus para resolver esse problema. No entanto, você definitivamente não deve confiar nesse assunto demorado, mas atualizar imediatamente. Se você é o único usuário em seu site WordPress, ou se todos os seus usuários são confiáveis, você não corre risco, mas ainda assim recomendamos a atualização em qualquer caso.
