WordPress a met à jour le plugin UpdraftPlus sur tous les sites afin de corriger une vulnérabilité de haute gravité permettant aux abonnés d'un site web de télécharger les dernières sauvegardes de la base de données, qui contiennent souvent des informations d'identification et des informations personnelles.

La faille a été répertoriée sous le nom de CVE-2022-0633 et porte un score CVSS v3.1 de 8.5, et elle affecte les versions 1.16.7 à 1.22.2 d'UpdraftPlus

UpdraftPlus permet de simplifier le processus de sauvegarde et de restauration grâce à des fonctions de sauvegarde programmée et à une option de téléchargement automatique vers une adresse électronique de confiance.

Cependant, en raison de bogues découverts dans le plugin, tout utilisateur authentifié de bas niveau peut créer un lien valide qui lui permettrait de télécharger les fichiers.

L'attaque commence par l'envoi d'une requête heartbeat contenant un paramètre "data" pour obtenir des informations sur la sauvegarde la plus récente. Par la suite, l'attaquant déclenche la fonction "envoyer la sauvegarde par e-mail" après avoir manipulé la demande du point de terminaison.

Cette fonction est normalement réservée aux administrateurs, mais toute personne disposant d'un compte sur le site cible peut y accéder sans limites en raison de l'absence de vérification des autorisations.

Comme indiqué dans le rapport de l'entreprise Automattic, certaines vérifications indirectes étaient encore présentes dans les versions vulnérables des plugins, mais elles ne sont pas suffisantes pour arrêter un attaquant habile.

Le chercheur Marc Montpas a déclaré à qu'il s'agit de l'un de ces cas très rares et exceptionnellement graves où WordPress force les mises à jour automatiques sur tous les sites, quels que soient les paramètres de leurs administrateurs.