一、漏洞详情

WordPress 是互联网上最大的网站后端之一，拥有庞大的插件生态系统。WordPress UpDraftPlus是流行的计划备份插件，目前有超过300多万次安装。

近日，WordPress在所有网站上推送了UpdraftPlus强制更新，以修复UpdraftPlus中的一个任意文件下载漏洞（CVE-2022-0633）。由于UpdraftPlus无法正确验证用户是否具有访问备份的随机数标识符所需的权限，这可能允许任何在网站上拥有帐户的用户（如订阅者）下载最新的站点和数据库备份。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

UpdraftPlus 版本1.16.7-1.22.2（免费版）

三、修复建议

目前此漏洞已经修复，且WordPress已经启动强制更新。

受影响用户也可以选择手动升级更新到UpdraftPlus 1.22.3或更高版本。

下载链接：https://wordpress.org/plugins/updraftplus/