Wordfence 是一个专注于研究 WordPress 安全的团队,近日他们发出漏洞警告,警告内容显示自 8 月下旬以来,一个名为 BackupBuddy 的 WordPress 插件中的漏洞已被多起恶意攻击所利用。
BackupBuddy 插件目前大约有 14 万个活跃安装,可以帮助 WordPress 网站管理员轻松管理他们的备份操作,该插件允许用户将备份存储到多个不同的线上和本地目录中。
该漏洞的 CVE ID 为 CVE-2022-31474(CVSS 将其危险程度评级为 7.5),被利用的漏洞存在于一个不安全的下载本地存储备份的方法,它允许任何未经认证的用户从服务器上获取任何文件。
这个漏洞允许攻击者查看你服务器上任何可以被你的 WordPress 安装系统读取的文件内容。其中包括 /etc/passwd、/wp-config.php、.my.cnf 和 .accesshash。 这些文件可以提供对系统用户详细信息、WordPress 数据库设置的未经授权的访问,甚至以 root 用户身份对受影响的服务器提供身份验证权限。
更具体地说,该插件为旨在下载本地备份文件的函数注册了一个 admin_init hook,该函数本身没有任何检查或随机数验证。这意味着该函数可以通过任何管理页面触发,包括那些无需认证就可以调用的页面(admin-post.php),使得未经认证的用户有可能调用该函数。此外由于备份路径没有经过验证,因此可以提供一个任意文件并随后下载。
这个安全漏洞影响了 BackupBuddy 8.5.8.0 到 8.7.4.1 版本,但该漏洞在 9 月 2 日的安全更新中(8.7.5 版本)已经得到完全解决。
虽然漏洞影响了 BackupBuddy 的多个版本,但 Wordfence 团队发现第一批针对这个漏洞的攻击在 8 月 26 日才开始(补丁发布前一周),并且在短时间内就有超过 490 万次利用该漏洞的攻击了。
由于这是一个已被积极利用的漏洞,强烈建议开发者将 BackupBuddy 更新到最新的 8.7.5 补丁版本。研究人员也建议受影响的用户可以尝试重置 WordPress 数据库密码、 更改 WordPress salts、更新存储在 wp-config.php 文件中的 API 密钥以及更新 SSH 密钥等。