Wtyczka All-in-One WP Migration and Backup, używana na ponad 5 milionach stron WordPress, posiada groźną lukę bezpieczeństwa. Problem dotyczy wszystkich wersji do 7.89 włącznie. Błąd został już naprawiony, ale wielu użytkowników wciąż korzysta z nieaktualnych wersji.
Luka umożliwia nieautoryzowane wstrzyknięcie obiektu PHP – bez potrzeby logowania się do systemu. Jednak, aby atak był skuteczny, administrator musi najpierw przywrócić kopię zapasową za pomocą tej wtyczki. To ogranicza skalę zagrożenia, ale nie eliminuje ryzyka.
W sprzyjających warunkach atakujący może usunąć dowolne pliki, wykraść poufne dane lub uruchomić złośliwy kod na serwerze. Problem wynika z nieprawidłowego przetwarzania danych przy odtwarzaniu kopii zapasowej.
Specjaliści zalecają jak najszybszą aktualizację do wersji 7.90, która zawiera już stosowną poprawkę.
Szczegóły na stronie Wordfence: