Millionen von WordPress-Websites haben in den letzten Tagen einen weiteres Update erhalten, berichtete Ars Technica. Der Grund dafür ist eine Sicherheitslücke in UpdraftPlus, einem beliebten Plugin, mit dem Benutzer Backups von Websites erstellen und wiederherstellen können. Die Entwickler von UpdraftPlus haben um den obligatorischen Patch gebeten, da die Schwachstelle es jedem, der über ein Konto verfügt, ermöglichen würde, die gesamte Datenbank einer Website herunterzuladen.
Der Fehler wurde vom Jetpack-Sicherheitsforscher Marc Montpas während einer Sicherheitsüberprüfung des Plugins entdeckt. „Dieser Fehler ist ziemlich einfach auszunutzen, mit einigen sehr schlechten Folgen, wenn er ausgenutzt wird“, sagte er gegenüber Ars Technica. „Er ermöglicht es Nutzern mit geringen Rechten, die Backups einer Website herunterzuladen, darunter auch rohe Datenbank-Backups.“
Der Hauptfehler bestand darin, dass UpdraftPlus die „Heartbeat“-Funktion von WordPress nicht korrekt implementierte, indem es nicht prüfte, ob die Benutzer über administrative Rechte verfügten. Ein weiteres Problem war eine Variable, die zur Validierung von Admins verwendet wurde und von nicht vertrauenswürdigen Benutzern geändert werden konnte. Jetpack hat in einem Blog-Post weitere Einzelheiten über die Funktionsweise eines Hacks bekannt gegeben.
Er informierte die UpdraftPlus-Entwickler am Dienstag letzter Woche über den Fehler, die ihn einen Tag später behoben und kurz darauf mit der Zwangsinstallation des Patches begonnen haben. Bis Donnerstag hatten 1,7 Millionen Websites von über 3 Millionen Nutzern den Patch erhalten.