Bakı 17° C
https://static.report.az/photo/01ff6e83-f6ba-347f-913e-54c08d5f4588.jpg
3 milyondan çox quraşdırılan "WordPress" nüsxələmə plaqini UpdraftPlus-a "ciddi" təhlükəsizlik boşluğu ehtiva edən "patch"lar buraxılıb. Bu da boşluğun mövcud olduğu saytlardakı hesabdan istifadə edərək saytın şəxsi məlumatlarını yükləmək üçün istifadə oluna bilər".
"Report" xəbər verir ki, bu barədə Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzinin açıqlamasında bldirilir.
Plaqin proqram təminatçıları qeyd ediblər ki, "2019-cu ilin mart ayından etibarən UpdraftPlus-un bütün versiyalarında boşluq müəyyən olunub, bu etibarsız istifadəçilərə heç bir yoxlanma aparılmadan nüsxələrə giriş imkanı verilməsi nəticəsində baş verib".
"Automattic" şirkətindən təhlükəsizlik üzrə tədqiqatçı Mark-Aleksandr Montpas fevralın 14-də CVE-2022-0633 (CVSS balı: 8.5) identifikasiya nömrəsi ilə təyin edilmiş boşluğu aşkar etdiyi və bu haqda hesabat verdiyi üçün təltif edilib. Problem UpdraftPlus -ın 1.16.7-dən 1.22.2-yə qədər olan versiyalarına təsir göstərir. "UpdraftPlus" "WordPress" idarəetmə paneli vasitəsilə bərpa edilə bilən, "WordPress" fayllarının, verilənlər bazalarının, plaqinlərin və mövzuların tam, əl ilə, yaxud planlaşdırılmış nüsxələnməsi prosesini həyata keçirə bilən bərpa və nüsxələmə həllidir. Nəticə olaraq bu təhlükəsizlik boşluğu, "UpdraftPlus" quraşdırılmış WordPress bazasına daxil olmuş istənilən istifadəçiyə mövcud nüsxəni yükləməyə imkan verir. Baxmayaraq ki, bu cür icazələr yalnız inzibatçılar üçün nəzərdə tutulmalı idi.
"WordPress" təhlükəsizlik şirkəti "Wordfence" bildirir ki, parolların və digər məxfi məlumatların sızmasından başqa, “bəzi hallarda kiber hücumçu konfiqurasiya faylından verilənlər bazasına giriş əldə edə və sayt verilənlər bazasına uğurla daxil ola bilərsə, o zaman saytın ələ keçirilməsinə səbəb ola bilər”.
"UpdraftPlus" plagininin istifadəçilərinə potensial təhlükənin təsirini azaltmaq üçün proqramı 1.22.3 (və ya Premium versiya üçün 2.22.3) versiyasına yeniləmələri tövsiyə olunur. Fevralın 17-də mövcud olan ən son versiya PHP 8-də avtomatik nüsxələmə funksiyalarının çapı ilə bağlı səhvləri həll edən 1.22.4-dür.
