安裝在超過 200,000 個網站上的熱門 WordPress 備份外掛程式最近修復了一個可能導致拒絕服務攻擊的高嚴重性漏洞。 Wordfence 的 CVSS 嚴重性等級評分為“高”,評分為 7.5/10,表示插件使用者應注意並更新其插件。
備份插件
該漏洞影響 WordPress 備份外掛程式 Backuply。 建立備份是所有網站的必要功能,而不僅僅是 WordPress 網站,因為如果伺服器發生故障並在災難性故障中丟失數據,備份可以幫助發布者回滾到早期版本。
網站備份對於網站遷移、駭客復原以及導致網站無法運行的失敗更新非常重要。
備份是一個特別有用的插件,因為它將資料備份到多個受信任的第三方雲端服務,並支援多種方式卸載本地副本以創建冗餘備份,以便如果雲端備份損壞,可以從另一個本地存儲的備份還原站點。
根據備份:
“備份包括本地備份和安全雲端備份,可輕鬆與 FTP、FTPS、SFTP、WebDAV、Google Drive、Microsoft OneDrive、Dropbox、Amazon S3 集成,並輕鬆實現一鍵恢復。”
影響備份的漏洞
美國政府的國家漏洞資料庫警告說,1.2.5 版及之前的備份包含一個可能導致拒絕服務攻擊的缺陷。
通知解釋稱:
“這是由於直接訪問 backuply/restore_ins.php 檔案造成的。這使得未經身份驗證的攻擊者有可能發出過多的請求,導致伺服器耗盡資源。”
拒絕服務 (DoS) 攻擊。
拒絕服務 (DoS) 攻擊是一種軟體缺陷,允許攻擊者快速發出大量請求,導致伺服器耗盡資源,無法再處理任何其他請求,包括向網站訪客發佈網頁。
DoS 攻擊的一個特點是有時可以上傳腳本、HTML 或其他可以執行的程式碼,從而允許攻擊者執行幾乎任何操作。
允許 DoS 攻擊的漏洞被認為是嚴重的,應採取措施盡快緩解這些漏洞。
變更日誌文件的備份
官方的 Backuply 變更日誌公佈了每個更新的詳細信息,並指出在 1.2.6 版本中實施了修復。 Backuply 的透明度和快速回應是負責任的,也是值得信賴的開發人員的標誌。
根據變更日誌:
「1.2.6(2024 年 2 月 8 日)
[Security-Fix] 在某些情況下,可以填充日誌,並且該問題已修復。 由 Villu Orav (WordFence) 報告”
建議
一般來說,強烈建議所有備份插件使用者盡快更新其插件,以避免不必要的安全事件。
閱讀國家漏洞資料庫中的漏洞描述:
CVE-2024-0842
閱讀 Wordfence 備份漏洞報告:
備份 – 備份、還原、遷移和克隆 <= 1.2.5 - 拒絕服務
精選圖片由 Shutterstock/Doppelganger4 提供
