Wordpressi turvaauk ohustab kolme miljonit lehte ja võib lekitada varukoopiaid

Veebruaris avastatud Wordpressi lisamooduli Updraftplus turvaauk võib ohustada kodulehe andmeid, kuna lubab võõrastel alla laadida tundliku infoga varukoopiaid. Praeguseks on turvaohust puudutatud kolm miljonit lehekülge, mille peale võttis Wordpress ette tavatu lahenduse - uuendas ise ilma omanikupoolse tegevuseta mõnesid haavatavaid lehekülgi, et need ei langeks lekke ohvriks.

Turvaoht puudutav UpdraftPlusi versioone 1.16.7 kuni 1.22.2. Parandus on sisse viidud versioonides 1.22.3 (tasuta) või 2.22.3 (tasuline).

Esimest korda kirjutati turvaaugust 17. veebruaril. Selle käigus selgus, et varukoopiale saavad ligi mõned madalama taseme õigustega kasutajad, kes ei peaks selliseid õigusi omama. Põhjuseks oli lihtne koodiviga, kus üks vajalik õiguste kontroll oli jäänud tegemata.

Varukoopia sattumine võõraste kätte võib tähendada, et nad saavad ligi sisule, mis on veebis muidu avalikkuse eest peidetud. Salasõnu plugini arendaja sõnul ilmselt ei leki, sest need on kaitstud ka siis, kui keegi juhtub andmebaasi sisule ligi pääsema.

Päris niisama lihtsalt siiski ohustatud saitidelt varukoopiat kätte ei saa, kirjutab Bleeping Computer. Selleks on vaja üht-teist teada ja päringut muuta. Kuna aga juhised on veebist kättesaadavad, siis tuleks moodul võimalikult kiiresti siiski ära uuendada, kui Wordpress seda juba ise teinud pole.

Turvaoht ei puuduta neid Wordpressi saite, kuhu peale kodulehe administraatori ja kindlate toimetajate ei pääse ligi tavakasutajaid väljaspoolt või kus pole sisse lülitatud varundust.

Jaga
Nõuandja