WordPress-Plug-in: UpdraftPlus könnte Website-Backups leaken
Aufgrund einer nicht ausreichenden Prüfung könnten Backups von WordPress-Seiten in die Hände von Angreifern gelangen. Sicherheitsupdates schaffen Abhilfe.
Das WordPress-Plug-in UpdraftPlus ist verwundbar und gefährdet potenziell Millionen Websites. Damit fertigt man Backups von mit dem Content-Management-System (CMS) erstellten Internetseiten an und kann bei Bedarf komplette Seiten daraus wiederherstellen.
WordPress gibt an, dass das Plug-in 3 Millionen aktive Installationen aufweist. Auf die Sicherheitslücke (CVE-2022-0633 "hoch") sind Sicherheitsforscher von Jetpack gestoßen. In einem Beitrag schreiben sie, dass von der Schwachstelle die Versionen zwischen 1.16.7 (aus März 2019) und 1.22.3 betroffen sind. Die UpdraftPlus-Entwickler geben an, dass sie die Lücke in den Ausgaben 1.22.3 und 2.22.3 geschlossen haben. Aufgrund eines Bugs sind mittlerweile die Versionen 1.22.4 und 2.22.4 verfügbar.
Zugriffe durch Unberechtigte möglich
Aufgrund der Schwachstelle könnte theoretisch jeder auf einer Seite registrierte Benutzer auf mit dem Plug-in angefertigte Backups zugreifen und Daten auslesen. Schuld daran soll eine fehlende Prüfung sein, ob ein Nutzer Admin-Rechte hat. Eigentlich dürfen nur Admins auf Sicherungskopien zugreifen. Das soll durch das Versenden von präparierten Anfragen klappen. Im Anschluss könnten Angreifer Backups herunterladen und durchsuchen.
Die Entwickler geben an, dass Passwörter in Sicherungskopien als Hash gespeichert vorliegen sollen, sodass Angreifer damit nicht ohne Weiteres etwas anfangen können. Welche Hash-Verfahren dabei zum Einsatz kommt, ist bislang nicht bekannt. Die Entwickler geben an, bislang noch keine Attacken beobachtet zu haben. Dennoch raten sie Admins zu einer zügigen Aktualisierung von UpdraftPlus.
(des)