شرکت امنیتی Wordfence اعلام کرده است که یک نقص امنیتی Zero-day روی افزونه BackupBuddy کشف شده و بیش از 140000 سایت در معرض هک و نفوذ قرار گرفته اند. این نقص امنیتی، امکان دانلود فایل های دلخواه را از سایت آسیب دیده برای کاربران غیر مجاز فراهم می کند که می تواند شامل اطلاعات حساس نیز باشد.
BackupBuddy به کاربران اجازه می دهد تا از کل اطلاعات سایت وردپرسی خود، شامل فایل های قالب، صفحات، نوشته ها، ابزارک ها، کاربران و فایل های رسانه ای، از طریق پیشخوان پشتیبان گیری کنند. یکی از ویژگیهای این افزونه، ذخیره فایلهای پشتیبان در چندین مکان مختلف است، که شامل Google Drive، OneDrive و AWS میشود. متاسفانه روش دانلود فایلهای ذخیرهشده، به طور ناامن پیادهسازی شده است و این امکان را برای کاربرانی که احراز هویت نشدهاند فراهم می کند تا بتوانند فایلهای ذخیرهشده در سرور را دانلود کنند.
