WordPress forceerde een spoedupdate om een ernstige kwetsbaarheid in UpdraftPlus te patchen. De plugin is op drie miljoen websites geïnstalleerd. De kwetsbaarheid stelde ongemachtigde gebruikers in staat om de databases van websites te downloaden.

De databases van miljoenen WordPress sites lagen voor het oprapen. Iedereen met een websiteaccount, geverifieerd of niet, kon de databases van websites met een UpdraftPlus-installatie downloaden.

Website databases bevatten uiterst gevoelige gegevens. Elk datalek kan ernstige gevolgen hebben. WordPress zag aanleiding om een spoedpatch te forceren voor iedere website met een UpdraftPlus-installatie.

UpdraftPlus

UpdraftPlus is een populaire, gebruiksgemakkelijke plug-in voor backups van WordPress sites. Marc Montpas, de securityonderzoeker die het lek ontdekte, stelt dat de kwetsbaarheid net zo gemakkelijk te misbruiken was.

Iedere ingelogde websitegebruiker kon een kopie van de meest recente backup downloaden. Alleen beheerders horen toegang te hebben, maar elk accountniveau kwam in aanmerking.

Het lek werd gevonden tijdens een recente securityaudit van de plugin. 24 uur later publiceerde UpdraftPlus een patch, waarna WordPress besloot om de update te forceren voor alle websites met een UpdraftPlus-installatie.

Volgens WordPress is de update op grofweg twee miljoen websites doorgevoerd. Drie miljoen websites gebruiken UpdraftPlus. Hoewel de kwetsbaarheid mogelijk is misbruikt, zijn er nog geen slachtoffers naar voren gekomen.