WordPress fuerza la instalación de un parche de UpDraftPlus en 3 millones de webs

UpDraft Plus es el responsable de que tres millones de webs estén siendo actualizadas de forma automática sin que lo hayan decidido sus administradores. Una vulnerabilidad de alta gravedad que permite a un suscriptor de un sitio descargar la copia de seguridad más reciente de la web es el responsable de que WordPress haya tomado esta inusual medida,informa Bleeping Computer.

WordPress es el CMS o gestor de contenidos más popular del mundo y con el que están creadas el 43% de las webs en Internet. UpDraftPlus es un conocido complemento o “plug-in” de WordPress que millones de administradores utilizan para realizar las copias de seguridad de sus webs. La vulnerabilidad descubierta afecta a las versiones desde la 1.16.7 a 1.22.2 de UpDraftPlus y WordPress está instalando las 1.22.3 y 2.22.3, según cada web utilice la versión gratuita del complemento o la de pago.

El fallo fue descubierto por el investigador de seguridad Marc Montpas el 14 de febrero. Lo notificó a UpDraftPlus inmediatamente y dos días después, WordPress inició el proceso de actualización automático del “plug-in” en los tres millones de webs que usan UpDraftPlus. El día 16 se actualizaron 783 instalaciones de WordPress y el jueves 17, 1,7 millones más.

Montpas ha señalado a Bleeping Computer que este es uno de los raros casos en los que WordPress fuerza las actualizaciones automáticas de forma masiva independientemente de la configuración establecida por los administradores.

La vulnerabilidad se ha denominado CVE-2022-0633 y tiene una puntuación de riesgo de 8.5. CVE-2022-0633 explota la opción de UpDraftPlus de descarga automática de una copia de seguridad a una dirección electrónica confiable, pero con la que se produce una validación incorrecta del usuario. De forma que una función restringida a los administradores de la web puede ser aprovechada por cualquier usuario suscrito a un determinado sitio y con una dirección de correo electrónico dada de alta en el mismo.