wordpress插件漏洞(WordPress插件 UpdraftPlus 出安全漏洞)

用户投稿 • 2022-02-25 23:49 星期五 • 阅读 58

wordpress插件漏洞，知名的 WordPress 备份和恢复插件 UpdraftPlus 最近被检测到任意文件下载漏洞的信息。

UpdraftPlus 插件

UpdraftPlus 号称最好用的 WordPress 备份/恢复插件，搜索备份插件，在官方插件库排名第一，目前已有 300 多万用户正在使用，相比之下，我的 WPJAM Basic 目前才 1万多安装。?

wordpress插件漏洞(WordPress插件 UpdraftPlus 出安全漏洞)

UpdraftPlus 分免费版和收费版，国外知名插件都是这样的，免费打开市场，通过更多功能和服务的付费版来盈利。

免费版可以备份到远程云存储，包括 Dropbox, 谷歌云端硬盘, 亚马逊 S3, 自建空间等等。

付费版可以克隆和迁移、增量备份，提供专家帮助和支持等等。

CVE-2022-0633

由于 UpdraftPlus 无法正确验证用户是否具有访问备份的随机数标识符所需的权限，这可能允许任何在网站上拥有任意权限账户的用户（如订阅者）下载最新的站点和数据库备份。

本来只应管理员有下载备份的权限，这样可能允许攻击者获取任何在网站上拥有帐户的用户（如订阅者）下载最新的站点和数据库备份。如果 WordPress 开放注册，这样获取订阅者权限的用户，就很容易了。

影响的版本是 UpdraftPlus 免费版 1.22.3 之前和收费版 2.22.3 之前的版本，当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

本文《wordpress插件漏洞(WordPress插件 UpdraftPlus 出安全漏洞)》由网赚联盟（ wangzhuan.org.cn ）整理或原创，感谢您的阅读。

随机文章

SEO小小课堂网
搜素引擎算法
网站内容优化
SEO教程
站长导航
友情链接交换
搜素引擎算法
关键词排名优化

百度搜索“网赚联盟”即可找到本站，微信搜索“小小课堂网”关注小小课堂网公众号。网赚联盟（ wangzhuan.org.cn ）欢迎用户投稿，发布者：用户投稿，文章版权归作者所有，投稿文章不代表网赚联盟立场，中二少年发布为网赚联盟原创文章，转载请注明出处：https://wangzhuan.org.cn/220791.html