Неодамна откриената ранливост што влијае на приклучокот за миграција на резервни копии на WordPress доби оцена за сериозност од 9,8 од 10, но работите можеби не се толку лоши како што изгледаат, бидејќи сега е достапна закрпа.
Безбедносниот пропуст, следен како CVE-2023-6553, влијае на сите верзии на овој приклучок до (и вклучувајќи) 1.3.7.
Успешните напаѓачи можат да постигнат далечинско извршување на кодот, овозможувајќи им целосно да ги компромитираат ранливите страници на WordPress со инјектирање PHP-код.
Безбедносниот додаток на WordPress Wordfence објави информации за оваа ранливост и тврди дека блокирал 39 напади во период од 24 часа.
Во белешките за промена на приклучокот, верзијата 1.3.8 се однесува на оваа грешка: „Поправена CVE – ве молиме ажурирајте“. Исто така, додава поддршка за тестирање за WordPress 6.4.2, кој беше објавен на 6 декември.
Не е јасно колку корисници користат ранливи верзии на овој приклучок, но програмерите тврдат дека имаат над 90.000 преземања и може да се пофалат со 94% оценка со пет ѕвезди, врз основа на повеќе од 900 прегледи.
Истражувачите од Nex Team се заслужни за прво откривање на овој недостаток како дел од програмата за баунтирање на грешки на Wordfence, која во моментов нуди поттик до 20 декември, каде што успешните апликанти ќе заработат 6,25 пати повеќе од вообичаената награда. На Nex Team му беа доделени 2.751 долари за известување на Wordfence за оваа ранливост.
По апликацијата, Wordfence издаде правило за заштитен ѕид за да ги заштити корисниците на Wordfence Premium (119$/годишно), Wordfence Care (490$/годишно) и Wordfence Response (950$/годишно). Wordfence, исто така, ќе го продолжи правилото за заштитен ѕид за корисници кои не плаќаат по периодот од 30 дена, што значи дека бесплатните корисници ќе бидат покриени од 5 јануари 2024 година.
Сепак, Wordfence ги информираше и развивачите на Backup Migration, BackupBliss, за оваа ранливост, кои потоа издадоа закрпа за неколку часа. Иако и закрпата и заштитниот ѕид се сега достапни, на корисниците на WordPress и понатаму им се советува веднаш да применуваат ажурирања за сите приклучоци за да ја одржат оптималната заштита на нивните сајтови.