最新发布的 WordPress 插件漏洞已影响 300 万个站点，问题该如何得到解决？ – 星尘安全的回答

近日，已发布的补丁包含 UpdraftPlus 中的“严重”安全漏洞，这是一个安装量超过300 万的 WordPress 插件，可以武器化以使用易受攻击站点上的帐户下载站点的私人数据。

“从2019年3月起，UpdraftPlus的所有版本都包含一个由缺少权限级别检查导致的漏洞，允许不受信任的用户访问备份。”该插件的维护者在本周发布的一份公告中表示。

Automattic（软件服务公司）的安全研究员 Marc-Alexandre Montpas 在2月14日发现并报告了该漏洞，该漏洞的标识符为CVE-2022-0633（CVSS 评分：8.5）。该问题影响从1.16.7 到 1.22.2的UpdraftPlus版本。

UpdraftPlus是一种备份和恢复解决方案，能够对WordPress 文件、数据库、插件和主题执行完整、手动或计划的备份，然后可以通过 WordPress管理仪表板恢复这些备份。此缺陷的一个后果是，它允许安装了UpdraftPlus的WordPress安装上的任何登录用户行使下载现有备份的权限 – 权限应该只保留给管理用户。

WordPress 安全公司 Wordfence表示，除了泄露密码和其他机密数据外，“在某些情况下，如果攻击者能够从配置文件中获取数据库凭据并成功访问站点数据库，它还可能接管站点。”

建议UpdraftPlus 插件的用户更新到版本 1.22.3（或高级版的 2.22.3）以减少任何潜在的利用。截至 2 月 17 日可用的最新版本是 1.22.4，它解决了与在 PHP 8 上打印自动备份选项相关的错误。

流行的 WordPress LiteSpeed Cache 插件中存在一个漏洞，可能允许攻击者检索用户 cookie 并可能接管网站。

该问题被跟踪为 CVE-2024-44000，之所以存在，是因为该插件在用户登录请求后会在调试日志文件中包含 set-cookie 的 HTTP 响应标头。

由于调试日志文件是可公开访问的，因此未经身份验证的攻击者可以访问文件中公开的信息，并获取其中存储的任何用户Cookie。

这将允许攻击者以会话 Cookie 泄露的任何用户（包括管理员）身份登录受影响的网站，这可能导致网站接管。

识别并报告安全缺陷的 Patchstack 认为该漏洞为“严重”，并警告说，如果调试日志文件尚未清除，它会影响至少启用调试功能的任何网站。

此外，漏洞检测和补丁管理公司指出，该插件还具有日志 Cookie 设置功能，如果启用，也可能泄露用户的登录 Cookie。

只有在开启调试功能的情况下才会触发漏洞。然而，WordPress 安全公司 Defiant 指出，默认情况下，调试是禁用的。

为了解决该漏洞，LiteSpeed 团队将调试日志文件移动到插件的单个文件夹中，为日志文件名实施了一个随机字符串，并删除了 Log Cookies 选项，从响应标头中删除了与 cookie 相关的信息，并在调试目录中添加了一个虚拟 index.php 文件。

“此漏洞凸显了确保执行调试日志过程的安全性、不应记录哪些数据以及如何管理调试日志文件的极端重要性。一般来说，我们强烈建议不要使用插件或主题将与身份验证相关的敏感数据记录到调试日志文件中，“Patchstack 指出。

CVE-2024-44000 已于 9 月 4 日随着 LiteSpeed Cache 版本 6.5.0.1 的发布得到解决，但数百万个网站可能仍会受到影响。