22.01.2025

Krytyczna podatność w UpdraftPlus (CVE-2024-10957) – co oznacza dla WordPress i WooCommerce oraz jak się zabezpieczyć

W ekosystemie WordPress regularnie pojawiają się podatności, ale część z nich zasługuje na natychmiastową reakcję ze względu na skalę użycia i potencjalny wpływ na bezpieczeństwo. Taka sytuacja dotyczy CVE-2024-10957 w popularnej wtyczce UpdraftPlus: WP Backup & Migration. Podatność dotyczy wersji 1.23.8 do 1.24.11 i została załatana w wersji 1.24.12.

W praktyce oznacza to, że jeśli Twoja strona lub sklep WooCommerce korzysta z UpdraftPlus i nie jest zaktualizowany, warto potraktować to jako pilny temat operacyjny.

Czego dotyczy podatność CVE-2024-10957

CVE-2024-10957 to podatność typu PHP Object Injection wynikająca z nieprawidłowej obsługi deserializacji w funkcji recursive_unserialized_replace.

Kluczowa informacja techniczna: sama wtyczka UpdraftPlus nie zawiera znanego łańcucha POP (Property Oriented Programming), więc realny wpływ może zależeć od tego, czy na stronie jest inny plugin lub motyw, który taki łańcuch posiada.

NVD wskazuje też, że w określonym scenariuszu wykorzystanie może wymagać działania administratora (np. uruchomienia funkcji wyszukiwania i podmiany), co nie zmienia faktu, że podatność ma wysoki rating i powinna być traktowana priorytetowo.

Jaki jest potencjalny wpływ na stronę i sklep WooCommerce

W zależności od warunków środowiska (w tym obecności łańcucha POP w innych komponentach) skutki mogą obejmować:

  • odczyt wrażliwych danych,
  • usuwanie plików,
  • a w najgorszym przypadku eskalację do wykonania kodu.

Dla WooCommerce ryzyko jest szczególnie istotne, bo środowisko sklepu zwykle przetwarza dane klientów, zamówienia i integracje, a dodatkowo plugin backupowy ma z definicji dostęp do dużej części zasobów witryny.

Kogo dotyczy problem

Podatność obejmuje UpdraftPlus w wersjach 1.23.8 do 1.24.11.
Wtyczka jest szeroko wykorzystywana w ekosystemie WordPress (raporty branżowe wskazują skalę rzędu milionów instalacji), dlatego temat jest nagłośniony w wielu bazach podatności.

Co zrobić teraz – działania rekomendowane

Zaktualizuj UpdraftPlus do wersji 1.24.12 lub nowszej

To podstawowa i najważniejsza mitigacja, bo podatność została załatana w tej wersji.

Jak to sprawdzić w WordPress:

  • Panel WordPress – Wtyczki – Zainstalowane wtyczki – UpdraftPlus
  • sprawdź wersję, wykonaj aktualizację

Jeśli masz procedurę wdrożeń – zrób to najpierw na stagingu, ale nie odkładaj aktualizacji bez uzasadnienia biznesowego.

Po aktualizacji wykonaj szybki przegląd podstawowych oznak nadużyć

To nie jest „dowód włamania”, ale dobra praktyka po nagłośnionym incydencie/podatności:

  • sprawdź listę kont administratorów (czy nie pojawiły się nowe, nieznane konta),
  • przejrzyj ostatnie zmiany we wtyczkach i motywach,
  • zweryfikuj, czy nie ma podejrzanych plików w katalogach upload i wp-content,
  • jeśli masz logi – sprawdź nietypowe próby logowania i skoki ruchu.

Uporządkuj proces aktualizacji i monitoringu

Ten przypadek jest dobrym pretekstem, aby domknąć podstawy:

  • stałe aktualizacje WordPress, motywów i wtyczek,
  • MFA dla kont administracyjnych,
  • ograniczenie dostępu do panelu (np. dodatkowe zabezpieczenia /wp-login.php),
  • kopie zapasowe z testem odtworzenia,
  • monitoring zdarzeń bezpieczeństwa.

Dlaczego warto traktować to jako pilne

Ta podatność ma wysoki rating w oficjalnych bazach (NVD opisuje ją jako podatność typu PHP Object Injection z istotnymi konsekwencjami w zależności od środowiska).
Niezależnie od niuansów eksploatacji, najlepszą strategią jest szybka aktualizacja i minimalizacja ryzyka poprzez porządek w komponentach i dostępach.

Jak możemy pomóc

Jeśli chcesz podejść do tego profesjonalnie w kontekście WordPress lub WooCommerce, możemy:

  • zweryfikować wersje i podatności w ekosystemie wtyczek,
  • sprawdzić podstawowe wektory ryzyka (dostępy, logi, uprawnienia, backupy),
  • przygotować plan hardeningu i utrzymania bezpieczeństwa,
  • przeprowadzić audyt bezpieczeństwa środowiska po aktualizacji.

Jeśli korzystasz z WordPress lub WooCommerce i chcesz mieć pewność, że aktualizacja UpdraftPlus została wykonana poprawnie, a środowisko nie nosi śladów nadużyć, odezwij się do nas. Sprawdzimy wersje, konfigurację, logi i kluczowe elementy bezpieczeństwa oraz przygotujemy listę priorytetów naprawczych.