按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

WordPress 強制更新 UpdraftPlus 外掛程式的嚴重資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-02-23
  • 點閱次數:1852
WordPress 強制更新 UpdraftPlus 外掛程式的嚴重資安漏洞 TWCERT/CC

WordPress 日前強制針對裝有 UpdraftPlus 外掛程式的網站進行強制更新,以修補一個嚴重漏洞 CVE-2022-0633,受影響網站超過 300 萬個。

這個漏洞讓網站內容訂閱戶,可以輕易下載網站最新的備份檔案,而在備份檔案中往往會包括許多可資辨識身分的個人資料。

UpdraftPlus 是個可以簡化網站備份與還原流程的 WordPress 外掛程式,可以進行排程備份,也可以將備份檔案自動寄到可信賴的 Email 信箱中。

不過,該漏洞讓任何執行權限的登入用戶,都能利用特製的連結來下載網站的備份檔,藉以竊取網站資料庫中的任何機敏資訊。

這個漏洞由於操作並不困難,因此依 CVSS 危險程度分級列為「高度危險」(high)等級,其危險程度評為為 8.5 分(滿分為 10 分)。

該漏洞是 WordPress 開發廠商 Automattic 旗下的資安研究人員於本(2022)年 2 月 14 日所發現的,並且立即通報給外掛程式開發廠商;開發者很快就完成漏洞修補,WordPress 於 2022 年 2 月 16 日開始強制裝有此外掛程式的三百多萬個 WordPress 網站升級;這在 WordPress 來說是相當罕見的。

UpdraftPlus 存有此漏洞的版本,自 1.16.7 至 1.22.2;開發者推出 1.22.3 與 2.22.3(付費專業版),以修復此漏洞。

UpdraftPlus 開發者在幾天後,又再度推出新版,強化漏洞修補,目前最新版本為 1.22.4;建議所有 UpdraftPlus 用戶,儘速更新到此最新版本。

  • CVE編號:CVE-2022-0633
  • 影響產品(版本):1.16.7 至 1.22.2
  • 解決方案:升級至 1.22.3(付費版為 2.22.3)與後續版本
回頁首