Automattic, la compañía que se encuentra detrás del popular sistema de publicación de contenidos (CMS) en Internet, ha instado a la actualización forzosa del plugin UpdraftPlus en los más de tres millones de sitios que disponen del mismo, independientemente de las configuraciones que hayan establecido los respectivos administradores.
Se trata de una actuación excepcional que afecta incluso a grandes compañías. UpdraftPlus es un plugin especializado en la realización de copias de seguridad y restauración de contenidos, contando con funciones básicas y opciones avanzadas.
Fue el 14 de este mes de febrero cuando el investigador de seguridad Marc Montpas de Automattic descubrió de un problema de seguridad, recibiendo el número de seguimiento CVE-2022-0633 y obteniendo una puntuación en CVSS v3.1 de 8.5.
Dos días más tarde, ya se encuentra disponible la nueva versión que corrige la vulnerabilidad encontrada, y que es la que Automattic está forzando a actualizar, aunque en la actualidad hay una nueva versión disponible, la 1.22.4, que es la que podrán instalar de manera manual a aquellos sitios web que aún no se hayan visto forzado, aunque aquellos que hayan optado por la opción Premium, disponen de la versión 2.22.3 disponible.
El problema de seguridad corregido permitía a cualquier usuario básico registrado en un sitio web recibir una copia de seguridad de la web mediante correo electrónico, incluyendo credenciales de acceso y más, sin necesidad de contar con privilegios de administrador.
Y es que el error se ha detectado en que el plugin manejaba de manera incorrecta los parámetros de acceso a los privilegios de administrador para poder acceder a las copias de seguridad, pudiendo crearse un enlace válido que le permitiese la descarga de los archivos, partiendo desde el envío de una solicitud con un parámetro de «datos» que le otorgaría el privilegio de poder disponer de la copia de seguridad más reciente del sitio web.
Acorde a los desarrolladores del plugin:
En este momento, (la aparición de un PoC) depende de que un pirata informático realice ingeniería inversa de los cambios en la última versión de UpdraftPlus para resolverlo
Según las estadísticas de WordPress, ya son bastante actualizaciones llevadas a cabo desde el día 16, momento en el que las nueva versiones del plugin UpdraftPlus con la vulnerabilidad corregida comenzasen a estar disponibles.