已更新运行BackupBuddy的WordPress网站已被敦促更新插件，因为有报告称积极利用高严重性任意文件下载/读取漏洞。BackupBuddy，用于备份WordPress网站，有大约140000个活动安装。WordPress安全公司Wordfence透露，自8月26日首次检测到滥用行为以来，其防火墙已经阻止了超过490万次与该漏洞相关的利用尝试。该问题被跟踪为CVE-2022-31474，CVSS得分为7.5，使未经身份验证的攻击者能够从易受攻击的站点下载敏感文件。

Wordfence表示，大多数观察到的攻击显然都试图读取/etc/passwd、/wp-config.php、.my.cnf或.accesshash文件，这些文件可能被用来进一步危害受害者。

该漏洞影响8.5.8.0和8.7.4.1之间的版本，并在8.7.5版本中进行了修补。

插件开发者iThemes说，该漏洞是在9月2日修复的，而不是在9月6日，正如Wordfence（以及这篇文章）最初所说的那样，在“收到与BackupBuddy安装相关的可疑活动通知”的几个小时内.

它继续说：“我们已向所有易受攻击的BackupBuddy版本（8.5.8 – 8.7.4.1）提供此安全更新，无论许可状态如何，因此没有人继续运行易受攻击的BackupBuddy插件版本。

“我们建议客户按照披露帖子中概述的步骤来检测他们的网站是否受到攻击。如果有人需要iThemes帮助台的帮助或帮助，我们的支持团队随时待命。”

该漏洞源于用于下载本地存储文件的机制的不安全实现，这意味着未经身份验证的攻击者可以下载存储在服务器上的任何文件。

“更具体地说，该插件为旨在下载本地备份文件的函数注册了一个admin_init挂钩，并且该函数本身没有任何功能检查或任何nonce验证，”根据9月6日发布的Wordfence博客文章。

“这意味着该功能可以通过任何管理页面触发，包括那些无需身份验证即可调用的页面(admin-post.php)，从而使未经身份验证的用户可以调用该功能。备份路径未经验证，因此可以提供任意文件并随后下载。”

Wordfence说，系统管理员可以通过“在查看访问日志中的请求时检查'local-download'和/或'local-destination-id'参数值”来发现漏洞利用的迹象。

“这些参数的存在以及文件的完整路径或文件的../../的存在表明该站点可能已成为该漏洞利用的目标。如果该网站遭到入侵，这可能表明BackupBuddy插件可能是入侵的来源。”

iThemes总结道：“与其他供应商过去经历的许多其他事件一样，这一事件凸显了WordPress用户的安全意识。由于供应商、用户和安全研究人员致力于让每个人的安全性更容易，WordPress作为一个整体已经成为一个更加安全的平台，iThemes很自豪能够成为其中不可或缺的一部分。”