WordPress UpdraftPlus 1.22.2 备份披露

2022 年 2 月 17 日，安装量超过 300 万的 WordPress 插件 UpdraftPlus 更新了针对安全研究员 Marc Montpas 发现的漏洞的安全修复程序。此漏洞允许任何登录用户（包括订阅者级用户）下载使用该插件制作的备份。备份是敏感信息的宝库，通常包括可用于访问站点数据库的配置文件以及数据库本身的内容。

与所有新报告的漏洞一样，Wordfence 威胁情报团队检查了补丁并能够创建概念证明。此外，我们发布了防火墙规则来阻止任何试图利用此漏洞的攻击者。Wordfence Premium、Care 和 Response 客户于 2022 年 2 月 17 日今天收到此规则，而 Wordfence Free 用户将在 2022 年 3 月 19 日 30 天后收到此规则。

此漏洞已在 UpdraftPlus 版本 1.22.3 中修复，因此我们强烈建议您验证您的站点是否运行最新版本的插件，如果不是，则立即更新。

说明：经过身份验证的备份下载

受影响的插件：UpdraftPlus

插件插件：updraftplus

插件开发商：UpdraftPlus.Com

受影响的版本：1.16.7 - 1.22.2

CVE ID：CVE-2022-0633

CVSS 评分：8.5（高）

CVSS 矢量：CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N

研究员：马克·蒙帕斯

完全补丁版本： 1.22.3

UpdraftPlus 是一个流行的 WordPress 网站备份插件，因此预计该插件将允许您下载备份。该插件实现的功能之一是能够将备份下载链接发送到网站所有者选择的电子邮件。不幸的是，此功能的实现不安全，使得订阅者等低级别身份验证用户可以制作允许他们下载备份文件的有效链接。

攻击从 WordPress 心跳功能开始。攻击者需要在备份运行时发送包含 data[updraftplus][updraft_credentialtest_nonce] 参数的特制心跳请求。如果他们能够在备份运行时将此请求计时到任何时间，则响应将返回下载该特定备份所需的备份随机数。

一旦攻击者拥有备份随机数，他们就可以触发 Maybe_download_backup_from_email 函数，但为了成功这样做，他们需要欺骗旨在确定请求发送到的端点的 WordPress 功能：

COM / E3T /英群/ GC + 113 / cwG7R04 / VWmXRT8lSp3sN8RzkRBwqxnbW6tdK5Q4FG9cDN5t-njf5js6pV3Zsc37CgT1gW4sdTrn1Xrbb2W4q0wp76QJFxXW4NTPFh17vBSPN5p4kpnQS-RHW5l9HZg2Cdvm5W1D8y-92M5VByW2m974x1NKGQxW7QJysB3B-8PLN24lHQ7mv7NKW6sJkfK15C-2XW6_lZKr7wcpmxF94xJVhz8YjV6G0gq63X2JCW6JRh2y4FPYLgW98mn9_4PvdbKW2M-Y1d2zQTMcW52xt9f4ZtH9qN3Z53t0NJjJ6N6XlZKVwmgc5W7wk8vJ7hLnxPW4h6zgj487WwqW3CRNP36MTTq5W6M71jx3FWjlcW7y_9sv4-nxtxW4zQsXR5t2FJqW2Fr14S7XWgTTVW3LqT1NvHSzN8WdMQ-j5sSlV49fdV5lJf0PVV4G201YJbktN14T6KnBK7wjW89z0pY5KCkRq32271）阅读全文在这里看到这个代码片断。（https://email.wordfence。

问题是 UpdraftPlus_Options::admin_page() === $pagenow 检查。这需要将 WordPress $pagenow 全局变量设置为 options-general.php。通常不允许订阅者访问此页面。但是，可以在某些服务器配置上欺骗此变量，主要是 Apache/modPHP。与该研究人员也发现的 WordPress < 5.5.1 中的先前漏洞类似，可以向例如 wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page= 发送请求上升气流加。

虽然订阅者无法访问 options-general.php，但他们可以访问 admin-post.php。通过将请求发送到此端点，他们可以欺骗 $pagenow 检查，使其认为该请求是针对 options-general.php 的，而 WordPress 仍将请求视为针对 admin-post.php 的允许端点。

一旦通过此检查，攻击者将需要提供备份随机数以及类型参数。最后，由于所有备份都按时间戳索引，因此攻击者将需要执行少量的暴力破解。由于初始攻击必须在备份进行时发生，因此攻击者将对备份可能使用的时间戳范围有一个不错的了解，因此他们可以在初始攻击之前的某个时间开始发送带有时间戳参数的多个请求心跳请求并递增，直到他们能够成功下载备份。

结论

成功利用此漏洞需要熟练的攻击者在目标系统上拥有活动帐户，以及大量的试验和错误。因此，它可能仅用于有针对性的攻击。尽管如此，成功的针对性攻击的后果可能很严重，因为它们可能包括泄露的密码和 PII，在某些情况下，如果攻击者能够从配置文件中获取数据库凭据并成功访问站点数据库，则站点接管。

因此，我们敦促所有运行 UpdraftPlus 插件的用户尽快更新到该插件的最新版本，即撰写本文时的 1.22.3 版（如果您尚未这样做的话）。虽然被利用的机会相对较低，但成功利用的后果将是严重的。

自 2022 年 2 月 17 日起，Wordfence Premium、Care 和 Response 客户将受到防火墙规则的保护，免受任何针对此漏洞的攻击，而 Wordfence Free 用户将在 2022 年 3 月 19 日 30 天后获得此保护。

如果您认为您的网站由于此漏洞或任何其他漏洞而受到威胁，我们通过 Wordfence Care 提供事件响应服务 (https://email.wordfence.com/e3t/Btc/GC+113/cwG7R04/VWmXRT8lSp3sN8RzkRBwqxnbW6tdK5Q4FG9cDN5t- nk73kWF5V1-WJV7CgLq5N53D7CYn4fPtW4lZrk78vdBcZW6F4Xpb21H8V2W35XR_Y4_7WYFW3196JL6GRsTzW1P08YB2DCV1mW4HVdCJ4sHnTjW7FkXHN99ZnstW7Xm7FN3Vct-1N2BFZsNYndHCW6jbcC438tbzWW3MjQdV2Zp1vxW4sKL9f38n-xdW8h2QLD3b07FSW21F0f61SF7TwW5H1KCV4sq7FBN8dQ1VSd1FN_W3M-sZ55GFbvqN7H_dBdNXTn6W6vGsd-83ZrDVV3gKbW6T2_pWW1hNGBQ4dWTRg3m221）。如果您需要立即清理您的网站，Wordfence 响应 (https://email.wordfence. COM / E3T /英群/ GC + 113 / cwG7R04 / VWmXRT8lSp3sN8RzkRBwqxnbW6tdK5Q4FG9cDN5t-nkr3kWFpV1-WJV7CgGTQW6RzFLs6nsfj5W8cMQpL7NrSnbW1Zkdm-5RZyrkW4mBTn22yKlcPW6pF3cv7gGrgKW5RnH2q3nfbbqW5QsZrV5DvMxFW1GmPBN3jzMQTW1fWT8l7Pgwj1N7lT6cjM69K7W1tqZs21dt2bDW3nqjC95Tw0vqW87FwBn1-fYnlW312yKf8NcCfjW8x-kK048w0t9N35ZcBBwd9W3W8TxdDK8fwlcZW89RHQn5w-XFNW56fB172F-Bv3N8Xs4kqqlfPKVHZ7Tr1777mZW8_VQXB95DmwSW3rYx-C5MxW28W8TH58Z8vNFh339ql1）提供相同的服务，24/7/365可用性和1小时的反应时间。如果您需要进一步的帮助，这两种产品都包括动手支持。

感谢 Marc Montpass 发现此漏洞并负责任地向 UpdraftPlus 团队报告。