Ars Technica cho biết hàng triệu trang web WordPress đã nhận được một bản vá bắt buộc trong vài ngày qua. Nguyên nhân là do một lỗ hổng trong UpdraftPlus, một plugin phổ biến cho phép người dùng tạo và khôi phục các bản sao lưu trang web. Các nhà phát triển của UpdraftPlus đã yêu cầu bản vá bắt buộc, vì lỗ hổng bảo mật sẽ cho phép bất kỳ ai có tài khoản tải xuống toàn bộ cơ sở dữ liệu của trang web.
Lỗi được phát hiện bởi nhà nghiên cứu bảo mật của Jetpack, Marc Montpas trong quá trình kiểm tra bảo mật của plugin. Ông nói với Ars Technica: “Lỗi này khá dễ khai thác. Nó giúp người dùng có đặc quyền thấp có thể tải xuống các bản sao lưu của trang web, bao gồm các bản sao lưu cơ sở dữ liệu thô.”
Ông ấy đã nói với các nhà phát triển UpdraftPlus về lỗi này vào thứ ba tuần trước, họ đã sửa nó một ngày sau đó và bắt đầu cài đặt bản vá ngay sau đó. 1,7 triệu trang web đã nhận được bản vá vào thứ năm, trong số hơn 3 triệu người dùng.
Lỗ hổng chính là UpdraftPlus đã không triển khai chính xác chức năng “hearbeat” của WordPress bằng cách kiểm tra chính xác xem người dùng có đặc quyền quản trị hay không. Một vấn đề khác là một biến được sử dụng để xác thực quản trị viên có thể được sửa đổi bởi những người dùng không đáng tin cậy. Jetpack cung cấp thêm chi tiết về cách một cuộc tấn công có thể hoạt động trong một bài đăng trên blog.
Trước đó, WordPress đã bị rò rỉ dữ liệu vào đầu năm nay, nhưng nó đã được thực hiện gián tiếp thông qua một vụ hack GoDaddy khiến 1,2 triệu tài khoản bị lộ. Nếu bạn đang chạy WordPress với plugin UpdraftPlus, bạn chắc chắn nên xác nhận rằng plugin đã tự động cập nhật lên 1.22.4 trở lên ở phiên bản miễn phí hoặc 2.22.4 trở lên ở bản trả phí.
