Zwangsupdate: WordPress schließt Sicherheitslücke in UpdraftPlus

Symbolbild: fehlende Sicherheit

Das WordPress-Plugin UpdraftPlus ist auf mehr als drei Millionen Websites aktiv und ist dort zuständig, Sicherungen durchzuführen. Es gab allerdings in dem Plugin eine so schwerwiegende Lücke, dass es ein automatisches Zwangsupdate auf die Version 1.22.3 gab, die diese Sicherheitslücke geschlossen hat.

Das Problem wurde seitens Jetpack entdeckt und in einem Bericht von UpdraftPlus wird die Lücke so beschrieben:

Dieser Fehler ermöglicht es jedem angemeldeten Benutzer einer WordPress-Installation mit aktivem UpdraftPlus, das Sonderrecht des Herunterladens eines bestehenden Backups auszuüben, ein Recht, das eigentlich nur administrativen Benutzern vorbehalten sein sollte. Dies war aufgrund einer fehlenden Berechtigungsprüfung im Code zur Überprüfung des aktuellen Backup-Status möglich. Dies ermöglichte die Erlangung einer internen ID, die andernfalls nicht bekannt war, und konnte dann verwendet werden, um eine Überprüfung der Berechtigung zum Herunterladen zu umgehen.

Stellungnahme von UpdraftPlus

Wie man sieht, scheint es eine ernsthafte Sicherheitslücke gewesen zu sein, die zudem Millionen von Websites betraf. Daher war es die Entscheidung von WordPress.org ein automatisches Zwangsupdate durchzuführen mehr als berechtigt. Gut, dass es einen solchen Mechanismus gibt.

Via WP Tavern

Diesen Beitrag teilen:

Verwandte Beiträge:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.