Милиони сайтове базирани на платформата WordPress получиха директна поправка за сигурността през изминалите дни. Причината за това е уязвимост в UpdraftPlus, популярна добавка, която позволява на потребителите да възстановят сайта си от резервно копие.

Разработчиците на UpdraftPlus са изискали задължителната поправка, тъй като са открили уязвимост, която позволява на всеки с акаунт да изтегли цялата база с данни на сайтовете. Бъгът е открит от изследователя в сферата на сигурността за Jetpack, Marc Montpas.

Това е станало по време на одит на добавката. Той посочва, че бъгът е лесен за използване, като може да доведе до доста неприятни последици. Потребител с ниски нива на сотъп може да изтегли цели резервни копия на сайта.

Уязвимостта е отстранена едва ден след като Montpas е съобщил за нея на разработчиците на UpdraftPlus. Малко след това поправката е била подадена към 1.7 милиона сайта, които използват добавката.

Основният пропуск е бил в това, че UpdraftPlus не са приложили правилно hearbeat функцията на WordPress. Тя проверява дали потребителите имат адекватни административни привилегии. Jetpack споделят повече детайли за възможното хакване в блог публикация.