Basis data sering kali menyertakan informasi sensitif tentang pengguna atau pengaturan keamanan situs. Ini membuat jutaan situs rentan terhadap pelanggaran data serius terkait kata sandi, nama pengguna, alamat IP, dan banyak lagi.

Hasil buruk, mudah dieksploitasi

UpdraftPlus menyederhanakan proses pencadangan dan pemulihan basis data situs web dan merupakan plugin pencadangan terjadwal yang paling banyak digunakan di internet untuk sistem manajemen konten WordPress. Ini menyederhanakan pencadangan data ke Dropbox, Google Drive, Amazon S3, dan layanan cloud lainnya.

Pengembang mengatakan itu juga memungkinkan pengguna untuk menjadwalkan pencadangan reguler dan lebih cepat serta menggunakan lebih sedikit sumber daya server. Peneliti keamanan yang menemukan kerentanan bernama Marc Montpas mengatakan bug ini cukup mudah untuk dieksploitasi dengan beberapa hasil yang sangat buruk jika dieksploitasi.

“Itu memungkinkan pengguna dengan hak istimewa rendah untuk mengunduh cadangan situs yang mencakup cadangan basis data mentah. Akun dengan hak istimewa rendah bisa berarti banyak hal seperti pengguna reguler, pengguna di situs e-commerce, dan lain-lain,” kata Montpas.

Montpas yang juga peneliti di perusahaan keamanan situs web Jetpack Scan menemukan kerentanan selama audit keamanan plugin dan memberikan rincian kepada pengembang UpdraftPlus pada Selasa lalu. Esoknya, pengembang menerbitkan perbaikan dan setuju untuk menginstalnya secara paksa di situs WordPress yang telah menginstal plugin.