Wordfence 是一个专注于研究 WordPress 安全的团队，近日他们发出漏洞警告，警告内容显示自 8 月下旬以来，一个名为 BackupBuddy 的 WordPress 插件中的漏洞已被多起恶意攻击所利用。

BackupBuddy 插件目前大约有 14 万个活跃安装，可以帮助 WordPress 网站管理员轻松管理他们的备份操作，该插件允许用户将备份存储到多个不同的线上和本地目录中。

该漏洞的 CVE ID 为 CVE-2022-31474（CVSS 将其危险程度评级为 7.5），被利用的漏洞存在于一个不安全的下载本地存储备份的方法，它允许任何未经认证的用户从服务器上获取任何文件。

这个漏洞允许攻击者查看你服务器上任何可以被你的 WordPress 安装系统读取的文件内容。其中包括 /etc/passwd、/wp-config.php、.my.cnf 和 .accesshash。 这些文件可以提供对系统用户详细信息、WordPress 数据库设置的未经授权的访问，甚至以 root 用户身份对受影响的服务器提供身份验证权限。

更具体地说，该插件为旨在下载本地备份文件的函数注册了一个 admin_init hook，该函数本身没有任何检查或随机数验证。这意味着该函数可以通过任何管理页面触发，包括那些无需认证就可以调用的页面（admin-post.php），使得未经认证的用户有可能调用该函数。此外由于备份路径没有经过验证，因此可以提供一个任意文件并随后下载。

这个安全漏洞影响了 BackupBuddy 8.5.8.0 到 8.7.4.1 版本，但该漏洞在 9 月 2 日的安全更新中（8.7.5 版本）已经得到完全解决。

虽然漏洞影响了 BackupBuddy 的多个版本，但 Wordfence 团队发现第一批针对这个漏洞的攻击在 8 月 26 日才开始（补丁发布前一周），并且在短时间内就有超过 490 万次利用该漏洞的攻击了。

由于这是一个已被积极利用的漏洞，强烈建议开发者将 BackupBuddy 更新到最新的 8.7.5 补丁版本。研究人员也建议受影响的用户可以尝试重置 WordPress 数据库密码、 更改 WordPress salts、更新存储在 wp-config.php 文件中的 API 密钥以及更新 SSH 密钥等。