WordPress-плагин с 3 000 000 установок позволял всем желающим скачивать бэкапы сайтов.
Разработчики WordPress пошли на редкий шаг и принудительно обновили плагин UpdraftPlus на всех сайтах, где он установлен. Это произошло из-за серьезной уязвимости, позволявшей даже пользователям с низкими привилегиями загружать последние бэкапы БД, которые часто содержат учетные данные и другую личную информацию.
Уязвимость, получившая идентификатор CVE-2022-0633 (8,5 балла о шкале CVSS), затрагивает плагин UpdraftPlus начиная от версии 1.16.7 по 1.22.2. Разработчики уже исправили баг в составе версий 1.22.3 и 2.22.3 (Premium).
https://xakep.ru/2022/02/18/updraftplus/
#wordpress #plugins #security #updraftplus