Uma vulnerabilidade no UpdraftPlus: WP Backup & O Migration Plugin afeta mais de 3 milhões de sites WordPress, permitindo que invasores não autenticados executem comandos como administradores. Essa falha permite que invasores carreguem e ativem plug-ins maliciosos, levando a uma possível execução remota de código.
O UpdraftPlus Backup & O plugin de migração é amplamente utilizado para criar backups e migrar sites WordPress. Atualmente está instalado em mais de 3 milhões de sites. A vulnerabilidade não exige que o invasor faça login ou possua uma conta WordPress para explorá-la. No entanto, apenas sites com uma chave Migrator ativa ou chave UpdraftCentral são confirmados como vulneráveis.
Todas as versões até 1.26.4, inclusive, são afetadas pela exploração, que reside na função UpdraftPlus_Remote_Communications_V2::wp_loaded. Esta vulnerabilidade é classificada como uma falha de desvio de autenticação, permitindo que invasores não autenticados contornem a verificação de identidade do plugin e obtenham acesso de administrador.
De acordo com a empresa de segurança Wordfence, os detalhes indicam que a validação insuficiente dos formatos de mensagens de comunicações remotas levou a esta falha. Essa falha permite que invasores forjem comandos RPC arbitrários, que o plug-in executaria como instruções legítimas do administrador.
A situação ilustra uma falha crítica de codificação: os controles de autenticação que deveriam verificar se os comandos são autênticos podem ser contornados, deixando efetivamente um backdoor aberto para ações não autorizadas. O sistema comprometido pode permitir que invasores instalem plug-ins backdoor, o que pode facilitar o roubo de dados, adição de malware ou controle total do site.
O Wordfence relatou um risco significativo, observando que bloqueou 8.172 tentativas de exploração desta vulnerabilidade em um único dia. Este número destaca as tentativas ativas dos hackers de tirar vantagem da falha, embora não confirme comprometimentos bem-sucedidos.
UpdraftPlus lançou um patch para todos os usuários afetados para proteger suas instalações. Os usuários são incentivados a atualizar para a versão 1.26.5 imediatamente para mitigar esta vulnerabilidade.
