Wordfence 是一個專注于研究 WordPress 安全的團隊，近日他們發(fā)出漏洞警告，警告內(nèi)容顯示自 8 月下旬以來，一個名為 BackupBuddy 的 WordPress 插件中的漏洞已被多起惡意攻擊所利用。

BackupBuddy 插件目前大約有 14 萬個活躍安裝，可以幫助 WordPress 網(wǎng)站管理員輕松管理他們的備份操作，該插件允許用戶將備份存儲到多個不同的線上和本地目錄中。

該漏洞的 CVE ID 為 CVE-2022-31474（CVSS 將其危險程度評級為 7.5），被利用的漏洞存在于一個不安全的下載本地存儲備份的方法，它允許任何未經(jīng)認(rèn)證的用戶從服務(wù)器上獲取任何文件。

這個漏洞允許攻擊者查看你服務(wù)器上任何可以被你的 WordPress 安裝系統(tǒng)讀取的文件內(nèi)容。其中包括 /etc/passwd、/wp-config.php、.my.cnf 和 .accesshash。 這些文件可以提供對系統(tǒng)用戶詳細(xì)信息、WordPress 數(shù)據(jù)庫設(shè)置的未經(jīng)授權(quán)的訪問，甚至以 root 用戶身份對受影響的服務(wù)器提供身份驗證權(quán)限。

更具體地說，該插件為旨在下載本地備份文件的函數(shù)注冊了一個 admin_init hook，該函數(shù)本身沒有任何檢查或隨機數(shù)驗證。這意味著該函數(shù)可以通過任何管理頁面觸發(fā)，包括那些無需認(rèn)證就可以調(diào)用的頁面（admin-post.php），使得未經(jīng)認(rèn)證的用戶有可能調(diào)用該函數(shù)。此外由于備份路徑?jīng)]有經(jīng)過驗證，因此可以提供一個任意文件并隨后下載。

這個安全漏洞影響了 BackupBuddy 8.5.8.0 到 8.7.4.1 版本，但該漏洞在 9 月 2 日的安全更新中（8.7.5 版本）已經(jīng)得到完全解決。

雖然漏洞影響了 BackupBuddy 的多個版本，但 Wordfence 團隊發(fā)現(xiàn)第一批針對這個漏洞的攻擊在 8 月 26 日才開始（補丁發(fā)布前一周），并且在短時間內(nèi)就有超過 490 萬次利用該漏洞的攻擊了。

由于這是一個已被積極利用的漏洞，強烈建議開發(fā)者將 BackupBuddy 更新到最新的 8.7.5 補丁版本。研究人員也建議受影響的用戶可以嘗試重置 WordPress 數(shù)據(jù)庫密碼、 更改 WordPress salts、更新存儲在 wp-config.php 文件中的 API 密鑰以及更新 SSH 密鑰等。