السبب هو وجود ثغرة أمنية في اضافة UpdraftPlus ، وهو مكون إضافي شائع يسمح للمستخدمين بإنشاء واستعادة النسخ الاحتياطية لموقع الويب.
تم اكتشاف الخطأ بواسطة باحث أمنى في Jetpack أثناء تدقيق أمان المكون الإضافي. قال لـموقع Ars Technica: “من السهل جدًا استغلال هذا الخطأ، مع بعض النتائج السيئة للغاية إذا تم استغلاله”. “لقد أتاح للمستخدمين ذوي الامتيازات المنخفضة تنزيل النسخ الاحتياطية للموقع، والتي تتضمن نسخًا احتياطية أولية من قاعدة البيانات.”
أخبر مطوري UpdraftPlus عن الخطأ يوم الثلاثاء من الأسبوع الماضي، وقاموا بإصلاحه بعد يوم واحد وبدأوا في فرض تثبيت التصحيح بعد ذلك بوقت قصير. وقد استلمها 1.7 مليون موقع حتى يوم الخميس، من بين أكثر من 3 ملايين مستخدم.
كان العيب الرئيسي هو أن UpdraftPlus لم ينفذ بشكل صحيح وظيفة “hearbeat” في WordPress عن طريق التحقق بشكل صحيح لمعرفة ما إذا كان لدى المستخدمين امتيازات إدارية.
هناك مشكلة أخرى وهي متغير يستخدم للتحقق من صحة المسؤولين الذين يمكن تعديلهم بواسطة مستخدمين غير موثوق بهم. قدم Jetpack مزيدًا من التفاصيل حول كيفية يمكن أن يعمل الاختراق في منشور مدونة.