iThemes пропатчили уязвимость в BackupBuddy
BackupBuddy — коммерческий плагин от iThemes, позволяющий выполнять резервное копирование по расписанию с возможностью удаленного хранения.
Недавно его разработчики исправили уязвимость, которая давала возможность пользователям скачивать произвольные файлы без какой-либо авторизации. iThemes опубликовали предупреждение для своих клиентов, отметив, что уязвимость затрагивает версии 8.5.8.0- 8.7.4.1 и активно эксплуатируется злоумышленниками.
Wordfence, компания в сфере информационной безопасности, обнародовала свои данные, согласно которым мошенники начали использовать эту дыру с 26 августа 2022 года. С тех пор компания заблокировала более 5 млн атак, нацеленных на эту уязвимость.
Метод, используемый в BackupBuddy для скачивания локально хранящихся файлов, был реализован без должной защиты, что позволяло неавторизованным пользователям скачивать любой файл, расположенный на сервере.