Популярный плагин резервного копирования WordPress, установленный на более чем 200 000 веб-сайтов, недавно исправил уязвимость высокой степени серьезности, которая могла привести к атаке типа «отказ в обслуживании». Wordfence присвоил CVSS высокий уровень серьезности с оценкой 7,5 из 10, что указывает на то, что пользователям плагина следует принять это к сведению и обновить свой плагин.
Плагин резервного копирования
Уязвимость затрагивает плагин резервного копирования WordPress Backuply. Создание резервных копий — необходимая функция для каждого веб-сайта, а не только для сайтов WordPress, поскольку резервные копии помогают издателям вернуться к предыдущей версии в случае сбоя сервера и потери данных в результате катастрофического сбоя.
Резервные копии веб-сайтов имеют неоценимое значение для миграции сайтов, восстановления после взлома и неудачных обновлений, которые делают веб-сайт нефункциональным.
Backuply — особенно полезный плагин, поскольку он выполняет резервное копирование данных в несколько доверенных сторонних облачных сервисов и поддерживает несколько способов загрузки локальных копий для создания избыточных резервных копий, чтобы в случае повреждения облачной резервной копии сайт можно было восстановить из другой резервной копии, хранящейся локально.
По данным Backuply:
«Backuply включает в себя локальное резервное копирование и безопасное облачное резервное копирование с простой интеграцией с FTP, FTPS, SFTP, WebDAV, Google Drive, Microsoft OneDrive, Dropbox, Amazon S3 и простым восстановлением в один клик».
Уязвимость, влияющая на резервное копирование
Национальная база данных уязвимостей правительства США предупреждает, что Backuply до версии 1.2.5 включительно содержит ошибку, которая может привести к атакам типа «отказ в обслуживании».
В предупреждении поясняется:
«Это связано с прямым доступом к файлу backuply/restore_ins.php и. Это позволяет неаутентифицированным злоумышленникам выполнять чрезмерные запросы, что приводит к нехватке ресурсов на сервере».
Атака типа «отказ в обслуживании» (DoS)
Атака типа «отказ в обслуживании» (DoS) – это атака, при которой ошибка в программном обеспечении позволяет злоумышленнику выполнять так много быстрых запросов, что у сервера заканчиваются ресурсы и он больше не может обрабатывать дальнейшие запросы, включая обслуживание веб-страниц посетителям сайта.
Особенностью DoS-атак является то, что иногда можно загрузить скрипты, HTML или другой код, который затем может быть выполнен, что позволяет злоумышленнику выполнить практически любое действие.
Уязвимости, которые делают возможным DoS-атаки, считаются критическими, и меры по их устранению следует предпринимать как можно скорее.
Документация журнала изменений резервного копирования
В официальном журнале изменений Backuply, в котором описываются подробности каждого обновления, отмечается, что исправление было реализовано в версии 1.2.6. Прозрачность и быстрое реагирование Backuply являются признаком надежности разработчика.
Согласно журналу изменений:
«1.2.6 (08 ФЕВРАЛЯ 2024 ГОДА)
[Security-Fix] В некоторых случаях логи удавалось пополнять и это было исправлено. Об этом сообщил Виллу Орав (WordFence)».
Рекомендации
В общем, всем пользователям плагина Backuply настоятельно рекомендуется как можно скорее обновить свой плагин, чтобы предотвратить нежелательные события безопасности.
Прочтите описание уязвимости в Национальной базе данных уязвимостей:
CVE-2024-0842
Прочтите отчет об уязвимости Wordfence Backuply:
Резервное копирование – резервное копирование, восстановление, миграция и клонирование <= 1.2.5 – отказ в обслуживании
Рекомендованное изображение: Shutterstock/Doppelganger4
2024-02-12 20:34:42
1707771205
#DoSуязвимость #плагина #резервного #копирования #WordPress #затрагивает #более #сайтов