• 發布單位:TWCERT/CC
• 更新日期:2022-02-23
• 點閱次數:3525

WordPress 日前強制針對裝有 UpdraftPlus 外掛程式的網站進行強制更新，以修補一個嚴重漏洞 CVE-2022-0633，受影響網站超過 300 萬個。

這個漏洞讓網站內容訂閱戶，可以輕易下載網站最新的備份檔案，而在備份檔案中往往會包括許多可資辨識身分的個人資料。

UpdraftPlus 是個可以簡化網站備份與還原流程的 WordPress 外掛程式，可以進行排程備份，也可以將備份檔案自動寄到可信賴的 Email 信箱中。

不過，該漏洞讓任何執行權限的登入用戶，都能利用特製的連結來下載網站的備份檔，藉以竊取網站資料庫中的任何機敏資訊。

這個漏洞由於操作並不困難，因此依 CVSS 危險程度分級列為「高度危險」（high）等級，其危險程度評為為 8.5 分（滿分為 10 分）。

該漏洞是 WordPress 開發廠商 Automattic 旗下的資安研究人員於本（2022）年 2 月 14 日所發現的，並且立即通報給外掛程式開發廠商；開發者很快就完成漏洞修補，WordPress 於 2022 年 2 月 16 日開始強制裝有此外掛程式的三百多萬個 WordPress 網站升級；這在 WordPress 來說是相當罕見的。

UpdraftPlus 存有此漏洞的版本，自 1.16.7 至 1.22.2；開發者推出 1.22.3 與 2.22.3（付費專業版），以修復此漏洞。

UpdraftPlus 開發者在幾天後，又再度推出新版，強化漏洞修補，目前最新版本為 1.22.4；建議所有 UpdraftPlus 用戶，儘速更新到此最新版本。

• CVE編號：CVE-2022-0633
• 影響產品(版本)：1.16.7 至 1.22.2
• 解決方案：升級至 1.22.3（付費版為 2.22.3）與後續版本