首页 / 新闻动态 / WordPress最流行备份插件UpdraftPlus曝身份...

WordPress最流行备份插件UpdraftPlus曝身份验证绕过漏洞CVE-2026-10795:300万站点面临远程接管风险

📅 2026-06-15 00:00:00 | 👁️ 阅读 28 | 📂 新闻动态

漏洞概述:备份插件反成入侵后门

2026年6月10日,安全研究人员披露了WordPress生态中安装量最大的备份插件UpdraftPlus存在严重身份验证绕过漏洞,编号为CVE-2026-10795,CVSS评分8.1(高危)。该漏洞允许未经身份验证的远程攻击者绕过插件的安全验证机制,执行管理员级别的操作,最终实现完全远程代码执行(RCE)。受影响版本为UpdraftPlus及UpdraftCentral 1.26.4及以下所有版本,影响范围覆盖全球超过300万个活跃WordPress站点

漏洞技术解析:两个缺陷叠加击穿安全防线

UpdraftPlus插件内置了一套远程过程调用(RPC)协议——UpdraftCentral/udrpc,允许经过身份验证的管理员远程控制插件的备份、恢复和迁移功能。该协议的安全性依赖于加密签名验证机制,确保传入的命令确实来自受信任的管理员。然而,这套验证机制存在两个致命缺陷:

缺陷一:签名验证逻辑失效

签名验证代码未正确验证RPC命令负载的完整性。攻击者可以精心构造一个看似合法的命令负载,在不拥有有效签名密钥的情况下通过验证检查。这相当于一道门锁看似在发挥作用,实际上锁舌根本没有咬合。

缺陷二:解密至零的加密密钥

更严重的是,签名方案中使用的加密密钥在特定条件下会解密为全零字节。这意味着密钥的输出是完全可预测的——攻击者可以为任意RPC命令计算出有效签名,而无需获取真实的加密密钥。这相当于锁的密码被公开了,而且所有锁用的是同一组密码。

两个缺陷叠加的效果是:未经身份验证的攻击者可以伪造看似来自站点管理员的RPC命令,完全接管插件的远程控制功能。

攻击链路推演:从绕过认证到完全控制

攻击者利用此漏洞的完整攻击路径如下:

阶段操作说明
1. 探测发现大规模扫描自动化工具扫描包含udrpc/updraftcentral关键字的URL,定位使用UpdraftPlus的WordPress站点
2. 认证绕过构造恶意RPC请求利用"解密至零"密钥伪造有效签名,发送特制RPC命令绕过身份验证
3. 提权执行上传并激活恶意插件通过RPC接口上传恶意插件并激活,获得WordPress管理员权限
4. 完全控制远程代码执行通过恶意插件在服务器上执行任意代码,访问文件系统、数据库和配置文件
5. 持久化/横向植入后门、窃取凭据修改wp-config.php获取数据库凭据、植入计划任务、窃取备份中的敏感数据

值得注意的是,整个攻击过程不需要任何身份验证、用户交互或特权访问,攻击者仅需对目标WordPress站点具有网络访问权限即可完成攻击。攻击复杂度低,利用门槛极低。

影响范围评估

此漏洞的影响面不容小觑,原因在于:

  • 安装基数庞大:300万+活跃安装,即使只有10%未及时修补,也意味着30万个可利用目标
  • 备份插件的特殊性:UpdraftPlus作为备份插件,天然拥有对WordPress文件系统和数据库的完全访问权限,一旦被攻破,攻击者获得的权限远超普通插件漏洞
  • 利用路径可预测:解密至零密钥和签名验证缺陷的组合使漏洞利用高度可复现,一旦PoC公开,大规模自动化攻击将迅速跟进
  • 攻击前置条件为零:无需任何凭据、无需用户交互、无需特殊权限

安全专家建议将此漏洞视为等同于KEV(已知被利用漏洞)级别的严重性,尽管截至发稿时它尚未被添加到CISA KEV目录中。

修复方案与应急响应

永久修复

UpdraftPlus开发团队已发布修复版本1.26.5,同时解决了签名验证缺陷和解密至零加密密钥两个问题。所有使用UpdraftPlus的WordPress站点应立即升级至1.26.5或更高版本。

紧急缓解措施(无法立即升级时)

  1. WAF规则阻断:在Web应用防火墙中添加规则,拦截包含udrpc或updraftcentral关键字的请求(仅允许受信任IP访问)
  2. 禁用插件:如无法立即配置WAF,且暂不依赖备份功能,可先停用UpdraftPlus插件
  3. Nginx配置拦截:在服务器Nginx配置中添加规则拦截相关请求路径

入侵检测指标

如需判断站点是否已被利用,请重点检查以下迹象:

  • Web服务器日志中出现针对udrpc/updraftcentral路径的异常POST请求
  • 出现未授权创建的管理员账户或已有用户角色被异常修改
  • wp-content/uploads/updraft目录中出现非正常时间触发的备份文件
  • 插件文件或上传文件被意外修改
  • WordPress实例出现异常的出站网络活动

对IT运维团队的启示

作为北京地区专业的IT外包服务商,我们从这个漏洞中得到几点深刻启示:

第一,安全边界正在重新定义。传统上我们认为WordPress插件是"应用层"的事情,但备份插件的特殊权限让它实际上成为"基础设施层"组件——一旦被攻破,影响范围等同于服务器被入侵。IT管理员在评估插件风险时,必须将插件的权限级别纳入考量。

第二,第三方组件的认证机制需要独立审计。UpdraftPlus的RPC认证是完全自建的,不依赖WordPress核心的nonce机制和用户会话管理。这种"独立认证"模式下,一旦实现有缺陷,WordPress核心的安全机制无法提供任何保护。企业应对使用独立认证机制的插件给予额外关注。

第三,备份系统安全是"最后一道防线"的最后一道防线。我们多次在文章中强调,备份是企业数据安全的底线。如果备份工具本身成为攻击入口,那不仅数据可能被窃取,攻击者还可能通过恢复功能植入恶意内容,让"数据恢复"变成"二次感染"。定期验证备份完整性、将备份文件与生产环境隔离存储,应当成为每个企业的标准操作。

如果您在WordPress站点安全维护方面需要专业支持,欢迎联系我们,我们将竭诚为您提供全面的安全评估和加固服务。

💬 评论 (0)