Wordfence 是一個(gè)專注于研究 WordPress 安全的團(tuán)隊(duì)，近日他們發(fā)出漏洞警告，警告內(nèi)容顯示自 8 月下旬以來(lái)，一個(gè)名為 BackupBuddy 的 WordPress 插件中的漏洞已被多起惡意攻擊所利用。

BackupBuddy 插件目前大約有 14 萬(wàn)個(gè)活躍安裝，可以幫助 WordPress 網(wǎng)站管理員輕松管理他們的備份操作，該插件允許用戶將備份存儲(chǔ)到多個(gè)不同的線上和本地目錄中。

該漏洞的 CVE ID 為 CVE-2022-31474（CVSS 將其危險(xiǎn)程度評(píng)級(jí)為 7.5），被利用的漏洞存在于一個(gè)不安全的下載本地存儲(chǔ)備份的方法，它允許任何未經(jīng)認(rèn)證的用戶從服務(wù)器上獲取任何文件。

這個(gè)漏洞允許攻擊者查看你服務(wù)器上任何可以被你的 WordPress 安裝系統(tǒng)讀取的文件內(nèi)容。其中包括 /etc/passwd、/wp-config.php、.my.cnf 和 .accesshash。 這些文件可以提供對(duì)系統(tǒng)用戶詳細(xì)信息、WordPress 數(shù)據(jù)庫(kù)設(shè)置的未經(jīng)授權(quán)的訪問(wèn)，甚至以 root 用戶身份對(duì)受影響的服務(wù)器提供身份驗(yàn)證權(quán)限。

更具體地說(shuō)，該插件為旨在下載本地備份文件的函數(shù)注冊(cè)了一個(gè) admin_init hook，該函數(shù)本身沒(méi)有任何檢查或隨機(jī)數(shù)驗(yàn)證。這意味著該函數(shù)可以通過(guò)任何管理頁(yè)面觸發(fā)，包括那些無(wú)需認(rèn)證就可以調(diào)用的頁(yè)面（admin-post.php），使得未經(jīng)認(rèn)證的用戶有可能調(diào)用該函數(shù)。此外由于備份路徑?jīng)]有經(jīng)過(guò)驗(yàn)證，因此可以提供一個(gè)任意文件并隨后下載。

這個(gè)安全漏洞影響了 BackupBuddy 8.5.8.0 到 8.7.4.1 版本，但該漏洞在 9 月 2 日的安全更新中（8.7.5 版本）已經(jīng)得到完全解決。

雖然漏洞影響了 BackupBuddy 的多個(gè)版本，但 Wordfence 團(tuán)隊(duì)發(fā)現(xiàn)第一批針對(duì)這個(gè)漏洞的攻擊在 8 月 26 日才開(kāi)始（補(bǔ)丁發(fā)布前一周），并且在短時(shí)間內(nèi)就有超過(guò) 490 萬(wàn)次利用該漏洞的攻擊了。

由于這是一個(gè)已被積極利用的漏洞，強(qiáng)烈建議開(kāi)發(fā)者將 BackupBuddy 更新到最新的 8.7.5 補(bǔ)丁版本。研究人員也建議受影響的用戶可以嘗試重置 WordPress 數(shù)據(jù)庫(kù)密碼、 更改 WordPress salts、更新存儲(chǔ)在 wp-config.php 文件中的 API 密鑰以及更新 SSH 密鑰等。