UpdraftPlus 插件漏洞影响超过 300 万 WordPress 网站,未授权攻击者可在受影响站点上执行任意管理命令,甚至植入恶意插件实现远程代码执行。该漏洞已在 1.26.5 版本中修复。
受影响范围与插件背景
UpdraftPlus 是 WordPress 生态中装机量最高的备份迁移插件之一,支持将网站备份存储至各类云服务和远程位置,全球累计安装超过 300 万个网站。
此次漏洞影响所有 UpdraftPlus 1.26.4 及以下版本,触发条件为网站启用了 Migrator 密钥(仅付费版)或 UpdraftCentral 密钥(免费版和付费版均适用)。换言之,并非所有安装了该插件的网站都处于同等风险之下——只有激活了上述任意一种密钥的站点才可被利用。
漏洞机制:身份验证如何被绕过
该漏洞位于 UpdraftPlusRemoteCommunicationsV2::wploaded 函数,属于身份验证绕过(Authentication Bypass)类型。
正常情况下,插件应对远程通信消息进行签名验证,确保收到的指令真实来自授权管理员。但由于远程通信消息格式校验不足,签名验证环节可被绕过,且解密失败时的返回值会退化为可预测的全零加密密钥。这意味着插件在加密校验失败时不仅没有拒绝访问,反而相当于敞开了一道后门。
攻击者利用这一缺陷,可伪造任意 RPC 命令,以目标站点管理员身份执行,包括上传和激活恶意插件。
远程代码执行:漏洞如何演变为网站接管
绕过身份验证后,攻击者可向插件发送指令,要求上传并激活一个预先准备好的恶意 WordPress 插件。一旦该插件被安装并启用,其包含的恶意代码即可在服务器端执行。
具体危害包括:窃取数据库内容、植入后门木马、篡改网站文件、取得 WordPress 完整控制权等。由于插件操作以管理员权限执行,攻击者还可进一步创建新的管理员账户、将站点用于继续攻击其他目标,或通过被控服务器传播恶意软件。
现实威胁:攻击已在进行
Wordfence 监控数据显示,在漏洞披露后的 24 小时内,其防火墙已拦截 8,172 次针对该漏洞的攻击尝试。虽然攻击量本身无法说明有多少站点已被成功入侵,但足以证明攻击者正在积极扫描和利用这一缺陷。
修复方案
UpdraftPlus 已发布 1.26.5 版本修复该漏洞。官方更新日志描述为:"先前版本存在一个缺陷,可能导致启用了 Migrator 密钥(仅付费版)或 UpdraftCentral 密钥(免费版和付费版)的站点被执行未授权操作。所有用户应立即更新。" 建议所有使用 UpdraftPlus 的网站管理员检查当前版本,若为 1.26.4 或更早版本,应尽快升级至 1.26.5 或更高版本。
