Kritisk autentificeringsfejl i UpdraftPlus//Udgivet den 2026-06-10//CVE-2026-10795

WP-FIREWALL SIKKERHEDSTEAM

UpdraftPlus CVE-2026-10795 Vulnerability

Plugin-navn UpdraftPlus
Type af sårbarhed Autentificeringsfejl
CVE-nummer CVE-2026-10795
Hastighed Høj
CVE-udgivelsesdato 2026-06-10
Kilde-URL CVE-2026-10795

Haster: UpdraftPlus (≤ 1.26.4) Brudt autentificering via UpdraftCentral ‘udrpc’ — Hvad hver WordPress-ejer skal gøre nu

Forfatter: WP‑Firewall sikkerhedsteam
Dato: 2026-06-10
Tags: wordpress, sikkerhed, updraftplus, wafu, sårbarhed, hændelsesrespons

Oversigt: En høj alvorligheds brudt autentificering sårbarhed (CVE‑2026‑10795, CVSS 8.1), der påvirker UpdraftPlus-relateret UpdraftCentral funktionalitet (udrpc), tillader uautentificerede angribere at omgå autentificering og udføre privilegerede handlinger på websteder, der bruger sårbare versioner (≤ 1.26.4). Denne rådgivning forklarer risikoen, hvordan problemet typisk misbruges, hvordan man opdager angreb, kortsigtede afbødninger (herunder virtuel patching via WP‑Firewall) og de anbefalede langsigtede afhjælpningstrin.

Indholdsfortegnelse

  • Resumé
  • Hvorfor denne sårbarhed er farlig
  • Teknisk oversigt (ikke-udnyttende)
  • Almindelige angrebsvektorer og virkelige scenarier
  • Hvordan man hurtigt opdager, om dit websted blev målrettet eller kompromitteret
  • Øjeblikkelige afbødningstrin (anvend inden for minutter)
  • Virtuel patching og WAF-regler, du kan implementere nu
  • Fuld afhjælpning: sikker opdatering og efter-opdateringskontroller
  • Tjekliste for hændelsesrespons (hvis kompromitteret)
  • Hærdningsanbefalinger for at reducere fremtidig risiko
  • Ofte stillede spørgsmål
  • WP‑Firewall gratis plan — en praktisk måde at tilføje beskyttelse nu
  • Afsluttende noter og ressourcer

Resumé

En brudt autentificering sårbarhed i UpdraftPlus-økosystemet (identificeret som CVE‑2026‑10795) tillader uautentificerede anmodninger at omgå forventede autentificeringskontroller i UpdraftCentral/udrpc-grænsefladen. På grund af den privilegerede karakter af Updraft-funktionerne (backup, gendannelse, migration, fjernkontrol-endepunkter) kan en vellykket udnyttelse gøre det muligt for angribere at udføre handlinger, der normalt kræver administrative rettigheder, herunder men ikke begrænset til at udføre backup/gendannelsesrutiner, oprette admin-konti via integrationsflows eller eksfiltrere websteddata.

Hvis dit websted kører UpdraftPlus eller nogen relaterede UpdraftCentral-komponenter, og plugin-versionen er ≤ 1.26.4, skal du betragte risikoen som øjeblikkelig: opdater eller lav virtuel patching nu.

Hvorfor denne sårbarhed er farlig

  • Uautoriseret: Sårbarheden kræver ikke, at en angriber er logget ind. Fjernaangribere kan nå det sårbare endepunkt via normale HTTP(S) anmodninger.
  • Privilegium eskalering / Omgåelse: Problemet omgår autentificeringskontroller, hvilket muliggør angriber-kontrollerede handlinger, der normalt ville være begrænset til administratorer.
  • Automatiseringsvenlig: Sårbarheden kan undersøges og udnyttes i stor skala med simple HTTP-værktøjer, hvilket gør det til et attraktivt mål for masseudnyttelseskampagner.
  • Backup/gendannelsesvektor: Komponenter relateret til sikkerhedskopier og fjernkontrol kan afsløre følsomme data eller give angribere veje til at skrive filer, injicere indstillinger eller køre processer, der opretholder adgang.

Fordi sårbarheden er eksponeret over webanmodninger og påvirker et meget populært backup/migrationsplugin, er det kategoriseret som høj prioritet for øjeblikkelig afhjælpning.

Teknisk oversigt (højt niveau, ikke-udnyttende)

  • Berørt komponent: UpdraftPlus-plugin og specifikt UpdraftCentral-relateret RPC (henvist til som “udrpc” i interne slutpunkter).
  • Berørte versioner: UpdraftPlus (og/eller UpdraftCentral integrator) versioner op til og med 1.26.4.
  • Patchet version: 1.26.5 (opgrader til denne version eller senere for permanent afhjælpning).
  • Kerneproblem: Brudt autentificering / forkert verifikation af anmodningens ægthed i et RPC-slutpunkt. Slutpunktet accepterer eller behandler anmodninger, der burde kræve validerede legitimationsoplysninger eller en nonce, men som ikke er korrekt verificeret.
  • Angrebsoverflade: Offentligt tilgængelige URL'er, der afslører udRPC-funktionaliteten (HTTP POST/GET-håndterere, der accepterer kommandoer/parametre).

Bemærk: Vi offentliggør bevidst ikke trin-for-trin udnyttelseskode. Vores mål er at styrke forsvarere til at opdage og afhjælpe uden at accelerere angrebsautomatisering.

Almindelige angrebsvektorer og virkelige scenarier

Angribere vil generelt følge mønstre som disse:

  1. Opdagelse
    • Scanne efter websteder med UpdraftPlus installeret (almindeligt med plugin-nummerering eller kendte plugin-filplaceringer).
    • Undersøge URL'er, der inkluderer strenge som “udrpc”, “updraftcentral” eller mønstre, der er konsistente med fjerntliggende RPC-slutpunkter.
  2. Godkendelsesomgåelse
    • Sende udformede anmodninger til udRPC-slutpunktet designet til at udløse kodeveje, der springer over autentificering eller håndterer autentificeringstokens/nonce-tjek forkert.
  3. Privilegeret handling
    • Når en omgåelse er opnået, kan angribere forsøge handlinger som:
      • Udløse sikkerhedskopier og eksfiltrere det resulterende arkiv (hvis tilgængeligt).
      • Udløse gendannelser, der overskriver indhold eller uploader angriberfiler.
      • Oprette eller ændre konfigurationsposter for at tilføje en bagdørsadministrator eller vedholdende mulighed.
      • Udførelse af downstream-operationer via integrationshooks.
  4. Vedholdenhed og lateral bevægelse
    • Installer bagdøre, opret admin-brugere eller tilføj planlagte opgaver for at bevare adgang.
    • Bevæge sig lateralt til andre integratorer eller tilsluttede tjenester.

Fordi denne sårbarhed muliggør uautoriserede handlinger, bør selv rekognosceringsundersøgelser betragtes som ondsindede og logges til opfølgning.

Hvordan man hurtigt opdager, om dit websted blev målrettet eller kompromitteret

Tegn på målretning eller udnyttelse:

  • Usædvanlige POST-anmodninger til slutpunkter, der indeholder “udrpc”, “updraftcentral”, “updraft” eller uventede RPC-lignende parametre i adgangslogs.
  • Anmodninger fra usædvanlige brugeragenter eller masse-scannings-IP'er, ofte i burst.
  • Pludselig oprettede admin-brugere eller ændringer i brugerroller.
  • Uventede sikkerhedskopier genereret omkring mistænkelige tidspunkter, eller sikkerhedskopifiler, der vises i wp-content/uploads/updraft (eller andre sikkerhedskopieringssteder), som du ikke har udløst.
  • Filer ændret/oprettet af WordPress, som du ikke genkender, især under plugin- eller uploads-mapper.
  • Usædvanlige udgående netværksforbindelser til ukendte værter, der stammer fra dit site (tjek netværkslogs, hvis tilgængelige).

Logkontroller, der skal køres straks (eksempler):

  • Søg webserverlogs for “udrpc”, “updraftcentral” eller lignende strenge.
  • Søg POST-anmodninger til wp-admin/admin‑ajax.php, der indeholder parametre relateret til Updraft eller UpdraftCentral.
  • Gennemgå WordPress-brugerlisten for uventede admin-konti:
    • wp_users tabel: uventede bruger-rækker
    • wp_usermeta: manipulation af kapabiliteter og roller.
  • Tjek ændringstider for plugin-filer og upload-mapper.

Hvis du finder beviser for mistænkelig aktivitet, følg tjeklisten for hændelsesrespons nedenfor.

Øjeblikkelige afbødningstrin (anvend inden for minutter)

Hvis du ikke kan opdatere plugin'et lige nu, så gør følgende straks:

  1. Bloker offentlig adgang til udRPC-endepunktet
    • Brug din WAF, serverfirewall eller webserverkonfiguration til at blokere anmodninger, der indeholder “udrpc” eller “updraftcentral” i URL'en eller POST-kroppen, medmindre anmodningen stammer fra en betroet IP.
  2. Begræns adgangen til plugin-adminsider.
    • Begræns adgangen til UpdraftPlus admin-sider og plugin-kataloger (via IP tilladelsesliste for administratorer).
  3. Deaktiver midlertidigt plugin'et
    • Hvis blokering ikke er mulig, eller du mistænker kompromittering, deaktiver UpdraftPlus, indtil du sikkert kan opdatere.
  4. Skift administratoradgangskoder og roter hemmeligheder
    • Rotér WordPress-administratoradgangskoder, databaselegitimationsoplysninger (hvis kompromittering mistænkes) og eventuelle API-nøgler, der bruges af integrationsservices.
  5. Aktivér forbedret logning og alarmering
    • Tænd for detaljeret logning af mistænkelige endepunkter og alarmer ved oprettelse af nye admin-brugere eller ændringer.

Disse foranstaltninger hjælper med at reducere eksponering, mens du forbereder en fuld afhjælpning.

Virtuel patching og WAF-regler, du kan implementere nu

Hvis du har en webapplikationsfirewall (WAF) — inklusive WP‑Firewall — kan du implementere virtuelle patches, der blokerer udnyttelsesforsøg på HTTP-laget. Virtuel patching giver dig tid, mens du planlægger opdateringer og hændelsesrespons.

Anbefalede WAF-tilgange

  • Bloker efter URL-mønster
    • Nægt anmodninger, hvor REQUEST_URI eller REQUEST_BODY matcher case-insensitive mønstre som:
      • udRPC
      • updraftcentral
      • updraft
    • Eksempel på ModSecurity-stilregel (skabelon): 
      SecRule REQUEST_URI|ARGS|REQUEST_HEADERS "@rx (?i)(udrpc|updraftcentral|updraft)"
    • Bemærk: Brug konservative regler, der ikke bryder legitime admin-arbejdsgange. Whitelist kendte admin-IP'er, hvis nødvendigt.
  • Kræv gyldige WordPress nonces og cookies
    • Bloker anmodninger til RPC-endepunkter, medmindre de ledsages af en gyldig logget ind cookie eller en valideret nonce-parameter. Hvis en anmodning ikke har en autentificeringscookie og forsøger at kalde RPC-handlingsnavne, der er knyttet til Updraft, nægt.
  • Bloker mistænkelige indholdstyper og kodninger
    • Nægt anmodninger med mærkelige indholdskodninger, eller POSTs der inkluderer base64 blobs, der sigter mod at sende serialiserede data.
  • Rate‑begrænsning og omdømme kontrol
    • Rate-begræns anmodninger til endepunkterne. Bloker IP'er med scanning mønstre.
  • Geo/IP tilladelsesliste
    • Hvis dine administratorer opererer fra et lille sæt kendte IP-områder, begræns adgangen til plugin-følsomme endepunkter til disse IP'er.
  • Overvåg for indikatorer
    • Opret en alarm for enhver blokeret anmodning, så du kan undersøge potentielle probing-aktiviteter.

WP‑Firewall kunder: vi har frigivet en afbødningsregel for at blokere almindelige udnyttelsesmønstre for dette problem og overvåge forsøg på tværs af vores netværk. Hvis du har brug for hjælp til at aktivere virtuel patching for flere websteder, kan vores platform anvende regler centralt.

Eksempel ModSecurity regler og nginx snippet (skabeloner)

Brug disse som udgangspunkt; tilpas til dit miljø og test på staging før produktion.

ModSecurity (anbefalet, test før implementering):

# Bloker mistænkelig udRPC adgang (case-insensitiv)"

nginx (simpel blokering efter URL):

location ~* /(?:(?:udrpc)|(?:updraftcentral)|(?:updraft)) {

Vigtig: disse er aggressive og kan blokere legitime operationer, hvis du bruger UpdraftCentral legitimt. Brug IP-whitelister eller tillad specifikke administrator-IP'er for sikker administrativ adgang.

Fuld afhjælpning: opdater, verificer og hårdn.

  1. Opdater plugin'et
    • Opdater UpdraftPlus og eventuelle UpdraftCentral integrationer til version 1.26.5 eller senere. Dette er den definitive løsning.
    • Test altid opdateringer på et staging-site, hvor det er muligt, før produktion.
  2. Bekræft integriteten af filer
    • Sammenlign plugin-filer med en kendt god kopi (download plugin-pakken fra det officielle plugin-repository).
    • Se efter nyligt ændrede filer med mistænkeligt indhold (web shells, eval(base64_decode(…)), ukendte PHP-filer).
  3. Skift legitimationsoplysninger og roter nøgler.
    • Skift administratoradgangskoder, nulstil API-nøgler, der bruges af sikkerhedskopier eller eksterne tjenester, og roter databaselegitimationsoplysninger, hvis du mistænker et kompromis.
  4. Fjern uautoriserede konti
    • Tjek wp_users og wp_usermeta for uventede konti eller rolleændringer og fjern eller nedgrader eventuelle uautoriserede brugere.
  5. Inspicer sikkerhedskopier og gendan sikkert
    • Hvis sikkerhedskopier blev udløst eller oprettet under et mistænkt udnyttelsesvindue, håndter dem som bevis. Gendan ikke inficerede sikkerhedskopier uden først at rense dem.
  6. Gen-scann for malware
    • Kør en fuld malware-scanning af sitet (fil og database) med værktøjer, du stoler på. Hvis muligt, få en anden sikkerhedsekspert til at revidere sitet.
  7. Genaktiver tjenester
    • Efter bekræftelse af en ren tilstand, genaktiver eventuelle midlertidigt deaktiverede plugins og fjern midlertidige firewall-blokeringer, begræns dem til en minimum nødvendig politik.

Hvis du opdager et kompromis — tjekliste for hændelsesrespons

Hvis din retsmedicinske gennemgang indikerer kompromis, følg en struktureret hændelsesrespons:

  1. Isolere
    • Sæt sitet i vedligeholdelsestilstand eller blokér trafik ved firewallen. Forhindre yderligere adgang for angriberen.
  2. Bevarelse af beviser
    • Bevar logfiler (webserver, WAF, database logfiler). Lav skrivebeskyttede kopier til undersøgelse.
  3. Identificer omfang
    • Bestem hvilke konti, filer og systemer der blev ændret. Tjek database og uploads-mapper.
  4. Udryddelse
    • Fjern web shells, uautoriserede plugins/temaer og bagdøre.
    • Erstat ændrede kerne/plugin-filer fra en betroet kilde.
  5. Genvinde
    • Gendan fra en ren sikkerhedskopi eller genopbyg fra en ren kodebase. Rotér legitimationsoplysninger, når sitet er rent.
  6. Overvåg og lær
    • Hold sitet i en forhøjet overvågningsstatus. Implementer strengere politikker, to-faktor autentificering og kontinuerlig scanning.
  7. Underret interessenter
    • Informer siteejere, kunder eller berørte personer som krævet af politik eller regulering.

Hvis kompromiset strækker sig ud over et enkelt site (f.eks. inden for et hostingmiljø eller på tværs af flere administrerede sites), koordiner med din vært eller sikkerhedsudbyder for at inddæmme og afhjælpe.

Hærdningsanbefalinger for at reducere fremtidig risiko

  • Hold WordPress-kerne, temaer og plugins opdaterede, og anvend opdateringer i en kontrolleret staging->produktion flow.
  • Minimér plugin-fodaftryk: fjern ubrugte eller overflødige plugins.
  • Brug rolleminimering: giv kun admin-rettigheder til betroede brugere.
  • Brug stærke adgangskoder og aktiver to-faktor autentificering for alle admin-brugere.
  • Begræns adgangen til wp-admin og kritiske plugin-endepunkter via IP-allowlisting, når det er muligt.
  • Brug en WAF og aktiver virtuel patching for højrisiko sårbarheder.
  • Overvåg logfiler centralt og sæt alarmer for uventede admin-handlinger (oprettelse af ny admin-konto, installation/fjernelse af plugin).
  • Test regelmæssigt sikkerhedskopier ved at udføre gendannelser i staging-miljøer.
  • Brug princippet om mindst privilegium for databasebrugere og filrettigheder.

Ofte stillede spørgsmål

Spørgsmål: Hvis jeg opdaterer til 1.26.5, er jeg så helt sikker?
EN: Opdatering til den patchede version adresserer den specifikke sårbarhed og er den definitive løsning. Efter opdatering, følg verificeringstrinene ovenfor for at sikre, at der ikke er nogen vedholdenhed fra tidligere udnyttelse.

Spørgsmål: Min host tilbyder auto-opdateringer. Er det nok?
EN: Auto-opdateringer reducerer risikoen, men du skal stadig bekræfte, at opdateringen lykkedes og scanne dit site for tegn på kompromittering, der skete før opdateringen.

Spørgsmål: Skal jeg deaktivere UpdraftPlus, indtil jeg kan opdatere?
EN: Hvis du ikke kan anvende patchen eller den virtuelle patch med det samme, skal du midlertidigt deaktivere plugin. Deaktivering forhindrer, at den sårbare kode kører.

Spørgsmål: Kan angribere eksfiltrere sikkerhedskopier?
EN: Ja — hvis angribere kan udløse sikkerhedskopier og derefter hente dem, kan følsomme filer og database dumps blive eksfiltreret. Det er en kerneårsag til at behandle denne sårbarhed som høj risiko.

WP‑Firewall gratis beskyttelsesplan — Beskyt dit site nu

Hurtig, essentiel beskyttelse for hver WordPress-side

Hvis du ønsker hurtigt at reducere risikoen, mens du opdaterer plugins og udfører retsmedicinske kontroller, overvej at tilføje et ekstra lag af beskyttelse med WP‑Firewall. Vores Basic (Gratis) plan giver dit site essentiel administreret firewall-beskyttelse skræddersyet til WordPress:

  • Administreret firewall med OWASP Top 10-reduktioner
  • Web Application Firewall (WAF) regler, der kan blokere kendte udnyttelsesmønstre
  • Ubegrænset båndbredde og malware-scanning for at hjælpe med at opdage mistænkelige filer
  • Centraliseret regeludrulning, så du kan anvende virtuelle patches uden at ændre webstedskode

Tilmeld dig Basic (Gratis) planen nu for at få øjeblikkelig virtuel beskyttelse, mens du opdaterer UpdraftPlus: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Hvis du har brug for automatisk fjernelse, brugerdefineret IP-allowlisting eller kontinuerlig virtuel patching i stor skala, vurder vores betalte planer, som inkluderer automatisk malware-fjernelse, månedlige sikkerhedsrapporter og automatisk sårbarhed virtuel patching.)

Afsluttende bemærkninger og næste skridt

  • Øjeblikkelig handling: Opdater UpdraftPlus til version 1.26.5 eller senere så hurtigt som muligt.
  • Hvis du ikke kan opdatere med det samme, implementer virtuel patching (blokér udRPC-lignende adgang), begræns plugin-sider til admin IP'er, eller deaktiver midlertidigt plugin'et.
  • Overvåg logfiler for probing-aktivitet og indikatorer som “udrpc” anmodninger.
  • Hvis du mistænker kompromittering, følg tjeklisten for hændelsesrespons og behandl sikkerhedskopier oprettet under kompromitteringsvinduet som potentielt forurenede.

Vi hos WP‑Firewall overvåger angrebsmønstre relateret til dette problem og har frigivet afbødningsregler, der kan anvendes med det samme. Hvis du administrerer flere websteder, kan centraliseret virtuel patching og overvågning dramatisk reducere den tid, dine aktiver er udsat.

For hjælp til at aktivere virtuel patching, implementere de anbefalede WAF-regler eller udføre en kompromitteringsvurdering, kontakt dit sikkerhedsteam eller nå ud til WP‑Firewall supportkanalen i dit dashboard.

Hold dig sikker og prioriter patching — denne er presserende.

— WP‑Firewall Sikkerhedsteam

Referencer og ressourcer

  • CVE: CVE‑2026‑10795
  • UpdraftPlus patched udgivelse: 1.26.5 (anvend straks)
  • Generel vejledning til håndtering af WordPress-hændelser (følg trinene i denne rådgivning)
wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™