Das WordPress-Plugin UpdraftPlus ist auf mehr als drei Millionen Websites aktiv und ist dort zuständig, Sicherungen durchzuführen. Es gab allerdings in dem Plugin eine so schwerwiegende Lücke, dass es ein automatisches Zwangsupdate auf die Version 1.22.3 gab, die diese Sicherheitslücke geschlossen hat.
Das Problem wurde seitens Jetpack entdeckt und in einem Bericht von UpdraftPlus wird die Lücke so beschrieben:
Dieser Fehler ermöglicht es jedem angemeldeten Benutzer einer WordPress-Installation mit aktivem UpdraftPlus, das Sonderrecht des Herunterladens eines bestehenden Backups auszuüben, ein Recht, das eigentlich nur administrativen Benutzern vorbehalten sein sollte. Dies war aufgrund einer fehlenden Berechtigungsprüfung im Code zur Überprüfung des aktuellen Backup-Status möglich. Dies ermöglichte die Erlangung einer internen ID, die andernfalls nicht bekannt war, und konnte dann verwendet werden, um eine Überprüfung der Berechtigung zum Herunterladen zu umgehen.
Stellungnahme von UpdraftPlus
Wie man sieht, scheint es eine ernsthafte Sicherheitslücke gewesen zu sein, die zudem Millionen von Websites betraf. Daher war es die Entscheidung von WordPress.org ein automatisches Zwangsupdate durchzuführen mehr als berechtigt. Gut, dass es einen solchen Mechanismus gibt.
Via WP Tavern
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
