WordPress forceert UpdraftPlus-update op 2,8 miljoen websites

[Captain Kirk]

WordPress heeft op 2,8 miljoen websites die gebruikmaken van de UpdraftPlus-plug-in een beveiligingsupdate geïnstalleerd. Via de kwetsbaarheid kan een aanvaller toegang tot databaseback-ups krijgen, die gebruikersnamen en gehashte wachtwoorden kunnen bevatten.

UpdraftPlus is een plug-in voor het maken van back-ups van WordPress-sites naar de cloud. Zo is het mogelijk om direct een back-up in bijvoorbeeld Dropbox of Google Drive op te slaan. Een kwetsbaarheid in de plug-in maakt het mogelijk voor gebruikers met een account, waaronder het allerlaagste subscriber-niveau, om back-ups van de website te downloaden.

De kwetsbaarheid, aangeduid als CVE-2022-0633, werd gevonden door securitybedrijf Jetpack. De ontwikkelaars van UpdraftPlus werden op 14 februari over het probleem ingelicht en kwamen op 16 februari met versie 1.22.3 waarin het probleem is verholpen. Vervolgens werd door WordPress tot "forced auto-updates" besloten.

UpdraftPlus is op meer dan drie miljoen websites geïnstalleerd. Uit cijfers van WordPress blijkt dat zo'n 2,8 miljoen websites de update inmiddels hebben ontvangen. Het komt zelden voor dat WordPress een update geforceerd uitrolt. Vorig jaar deed het dit onder andere voor lekken in een WooCommerce-plug-in en de Jetpack-plug-in.