近日，已公布的补丁包包括 UpdraftPlus 中的“比较严重”网络安全问题，这是一个安裝量超出300 万的 WordPress 插件，可以武器化以应用易受攻击站点上的账号下载站点的个人数据信息。

“从2019年3月起，UpdraftPlus的全部版本都含有一个由缺乏管理权限等级查验造成的系统漏洞，容许不会受到信赖的用户浏览备份。”该插件的维护者在近期公布的一份公示中表明。

Automattic（手机软件服务中心）的安全保障研究者 Marc-Alexandre Montpas 在2月14日发觉并汇报了该系统漏洞，该漏洞的标志符为CVE-2022-0633（CVSS 得分：8.5）。该问题危害从1.16.7 到 1.22.2的UpdraftPlus版本。

UpdraftPlus是一种备份和修复解决方法，可以对WordPress 文档、数据库查询、插件和主题风格实行详细、手动式或方案的备份，随后可以根据 WordPress管理方法汽车仪表板修复这种备份。此缺点的一个不良影响是，它容许安裝了UpdraftPlus的WordPress安装上的一切登陆用户行驶下载目前备份的管理权限 - 权限应当只保存给管理方法用户。

WordPress 安全性企业 Wordfence表明，除开泄漏登陆密码和别的商业秘密数据信息外，“在某种情形下，假如网络攻击可以从环境变量中获得数据库查询凭证并取得成功浏览站点数据库查询，它还很有可能接手站点。”

提议UpdraftPlus 插件的用户升级到版本 1.22.3（或高級版的 2.22.3）以降低一切潜在性的运用。截止到 2 月 17 日可以用的全新版本是 1.22.4，它解决了与在 PHP 8 上打印出全自动备份选择项有关的不正确。

注：文中由E安全性编译程序报导。