流行的 WordPress 备份插件中存在一个高危漏洞，允许未经身份验证的攻击者利用该漏洞。该漏洞的评分为 8.8（评分范围为 0.0 到 10）。

UpdraftPlus：WP 备份和迁移插件

该漏洞影响了流行的 Updraft Plus WordPress 插件，该插件安装在超过 300 万个网站中。Updraft Plus 有免费版和付费版，允许用户将备份上传到用户的云存储或通过电子邮件发送文件。该插件允许用户手动备份网站或安排网站自动备份。它提供了极大的备份灵活性，对于从灾难性的服务器问题中恢复非常有用，也有助于完全迁移到不同的服务器。

Wordfence 解释了此漏洞：

“UpdraftPlus：WP Backup & Migration Plugin 适用于 WordPress 的所有版本（包括 1.24.11）都存在 PHP 对象注入漏洞，可通过“
recursive_unserialized_replace”函数中不受信任的输入进行反序列化。这使得未经身份验证的攻击者可以注入 PHP 对象。

存在漏洞的软件中不存在已知的 POP 链。如果通过安装在目标系统上的附加插件或主题存在 POP 链，则攻击者可以删除任意文件、检索敏感数据或执行代码。管理员必须执行搜索和替换操作才能触发漏洞利用。”

Updraft Plus 更新日志似乎将漏洞最小化，它甚至没有将更新称为安全补丁，而是标记为“调整”。

来自官方Updraft Plus WordPress 插件更新日志：

“调整：完成对 unserialize() PHP 函数调用的审查和删除，该函数允许在 1.24.7 版中开始进行类实例化。（最终的删除涉及一个理论上的安全缺陷，如果您的开发网站允许攻击者发布内容，而您已将其迁移到另一个网站，并且其中包含可以执行破坏性操作的自定义代码，而攻击者在您克隆网站之前就已经知道了这些代码。删除的结果是，一些在实践中极不可能遇到的搜索替换将被跳过）。”

Updraft Plus 漏洞已修复

建议用户考虑将 Updraft Plus 安装更新至最新版本 1.24.12。最新版本之前的所有版本都存在漏洞。