Злоумышленники активно используют 0-day уязвимость в WordPress плагине BackupBuddy

Уязвимость в BackupBuddy была обнаружена 6 сентября 2022 года исследователями из Wordfence. Брешь в защите получила идентификатор CVE-2022-31474 (имеет оценку 7.5 из 10 по шкале CVSS). Известно, что она может быть использована неавторизованным пользователем для загрузки произвольных файлов с уязвимого сайта.

По данным аналитиков Wordfence, хакеры начали использовать уязвимость в дикой природе 26 августа 2022 года. Компания добавила, что с тех пор было заблокировано около 4 948 926 атак с использованием CVE-2022-31474.

Все проблемы возникают из-за небезопасной функции для загрузки локальных файлов резервного копирования под названием 'Local Directory Copy', которая позволяет неавторизованным пользователям скачивать любой файл, хранящийся на сервере. Функция активируется хуком admin_init и не имеет вообще никаких проверок, что позволяет пользователям запускать ее через любую страницу администратора, включая те, которые могут быть вызваны без авторизации (admin-post.php). А так как путь к резервным копиям тоже не проверяется, злоумышленник может спокойно скачать их.

Известно, что с помощью уязвимости злоумышленники пытались скачивать конфиденциальные файлы /wp-config.php и /etc/passwd.

Специалисты предупреждают, что уязвимость затрагивает сайты с версиями плагина от 8.5.8.0 до 8.7.4.1 и рекомендуют владельцам сайтов обновить BackupBuddy до версии 8.7.5.