事件簡述
網站管理系統 WordPress 近日傳出其外掛程式 UpdraftPlus 含有嚴重的漏洞，可導致 PII（Personally Identifiable Information）和身份驗證數據的暴露。UpdraftPlus 是一個用於對 WordPress 文件、數據庫、外掛程式及主題進行創建、回復及遷移備份的工具，被超過 300 萬個網站所使用，包括微軟、思科及 NASA 等組織。

 

漏洞說明
週一時 WordPress 母公司 Automattic Inc. 的安全工程師 Marc-Alexandre Montpas 提交了一份報告，報告中詳細說明了 CVE 2022-0633，此漏洞分數為 8.5，風險等級被列為高。根據 UpdraftPlus 週三發佈的安全公告，此漏洞允許在 UpdraftPlus 上的一般用戶可以下載備份，而這權限應僅限於管理員用戶。此漏洞的根本在於 UpdraftPlus 無法判斷是誰發出備份請求。

 

攻擊手法
攻擊始於 WordPress 的 Heartbeat 功能。攻擊者需要發送一個特製的 Heartbeat 請求，並在其中包含一個 data[updraftplus] 參數，透過提供適當的子參數，攻擊者就能夠獲得包含備份隨機數和時間標記的備份日誌，並使用它們來下載備份。不過由於攻擊者需要訪問目標站點才能利用這個攻擊手法，因此網站風險可降低到只有內部威脅。

 

其他漏洞
事實上，WordPress 中的漏洞並非只有 CVE 2022-0633，近幾個月以來 WordPress 的外掛程式就曾出現不少漏洞，已成為網絡安全的關注焦點。

在 1 月份時，外掛程式 WP HTML Mail 中的跨站腳本漏洞暴露了超過 20,000 個站點。此外，在為總共 84,000 個站點提供服務的三個不同外掛程式中也發現了一個類似於 CVE 2022-0633 的身份驗證漏洞。而僅僅在 1 月 18 日一天，就發生了兩起重大安全事件，包括在 AdSanity 插件中發現的 9.9 分漏洞，以及屬於 AccessPress 主題的 40 個主題和 53 個外掛程式的供應鏈攻擊。

 

修補方式
UpdraftPlus 已發佈了 1.22.3 免費補丁及 2.22.3 的付費補丁，受影響的 WordPress 網站都應盡速更新。 

 

參考資料：
https://threatpost.com/severe-wordpress-plug-in-updraftplus-bug-threatens-backups/178528/