O plugin em questão - WPvivid Backup - é um backup grátis all-in-one, de restauro e migração, que já conta com dezenas de milhares de instalações. Permite ao utilizador migrar uma cópia do site para um novo host, agendar backups e enviar os mesmos para uma unidade de armazenamento remota.

A falha em causa trata-se de uma falta de verificação de autorização, que permite a obtenção de todos os ficheiros do site e, portanto, à exposição da base de dados do mesmo. Os investigadores repararam na existência de diversos pedidos ou ações de wp_ajax que não passavam por nenhuma validação e que, por essa razão, esta falha podia levar a diversos ataques de Cross-Site Request Forgery, o que em cibersegurança se define como a possibilidade de um utilizador poder realizar ações indesejadas em nome de outra pessoa.

Verificou-se também o que provavelmente teria mais impacto era a função wp_ajax_wpvivid_add_remote, através da qual qualquer utilizador podia adicionar um novo local de armazenamento e usá-la como a localização de backup por defeito, fazendo com que o backup corresse como é habitual nas localizações definidas, incluindo essa mais recente.

A falha de CSRF podia também ser explorada por atacantes remotos convencendo um utilizador com privilégios de administrador a executar uma ação de administrador indesejada pelo plugin.

Mais informações no blogue dos investigadores: https://www.webarxsecurity.com/wordpress-vulnerability-news-march-2020/