Критическая уязвимость аутентификации в UpdraftPlus//Опубликовано 2026-06-10//CVE-2026-10795

КОМАНДА БЕЗОПАСНОСТИ WP-FIREWALL

UpdraftPlus CVE-2026-10795 Vulnerability

Имя плагина UpdraftPlus
Тип уязвимости Уязвимость аутентификации
Номер CVE CVE-2026-10795
Срочность Высокий
Дата публикации CVE 2026-06-10
Исходный URL-адрес CVE-2026-10795

Срочно: UpdraftPlus (≤ 1.26.4) Сломанная аутентификация через UpdraftCentral ‘udrpc’ — Что должен сделать каждый владелец WordPress сейчас

Автор: Команда безопасности WP‑Firewall
Дата: 2026-06-10
Теги: wordpress, безопасность, updraftplus, wafu, уязвимость, реагирование на инциденты

Краткое содержание: Уязвимость с высокой степенью серьезности, связанная с сломанной аутентификацией (CVE‑2026‑10795, CVSS 8.1), затрагивающая функциональность UpdraftCentral, связанную с UpdraftPlus (udrpc), позволяет неаутентифицированным злоумышленникам обойти аутентификацию и выполнять привилегированные действия на сайтах, использующих уязвимые версии (≤ 1.26.4). Этот совет объясняет риск, как обычно злоупотребляют этой проблемой, как обнаружить атаки, краткосрочные меры смягчения (включая виртуальное патчирование через WP‑Firewall) и рекомендуемые долгосрочные шаги по устранению.

Оглавление

  • Управляющее резюме
  • Почему эта уязвимость опасна
  • Технический обзор (неэксплуатирующий)
  • Общие векторы атак и сценарии из реальной жизни
  • Как быстро определить, был ли ваш сайт нацелен или скомпрометирован
  • Немедленные меры смягчения (применить в течение нескольких минут)
  • Виртуальное патчирование и правила WAF, которые вы можете развернуть сейчас
  • Полное устранение: безопасное обновление и проверки после обновления
  • Контрольный список реагирования на инциденты (в случае компрометации)
  • Рекомендации по укреплению безопасности для снижения будущих рисков
  • Часто задаваемые вопросы
  • Бесплатный план WP‑Firewall — практический способ добавить защиту сейчас
  • Заключительные заметки и ресурсы

Управляющее резюме

Уязвимость сломанной аутентификации в экосистеме UpdraftPlus (идентифицированная как CVE‑2026‑10795) позволяет неаутентифицированным запросам обойти ожидаемые проверки аутентификации в интерфейсе UpdraftCentral/udrpc. Из-за привилегированного характера возможностей Updraft (резервное копирование, восстановление, миграция, удаленные контрольные точки) успешная эксплуатация может позволить злоумышленникам выполнять действия, которые обычно требуют административных привилегий, включая, но не ограничиваясь, выполнение процедур резервного копирования/восстановления, создание учетных записей администраторов через интеграционные потоки или эксфильтрацию данных сайта.

Если ваш сайт использует UpdraftPlus или любые связанные компоненты UpdraftCentral и версия плагина ≤ 1.26.4, рассматривайте риск как немедленный: обновите или виртуально патчируйте сейчас.

Почему эта уязвимость опасна

  • Неаутентифицировано: Уязвимость не требует, чтобы злоумышленник был авторизован. Удаленные злоумышленники могут получить доступ к уязвимой конечной точке через обычные HTTP(S) запросы.
  • Эскалация привилегий / Обход: Проблема обходит проверки аутентификации, позволяя действиям, контролируемым злоумышленником, которые обычно ограничены для администраторов.
  • Удобно для автоматизации: Уязвимость может быть исследована и эксплуатирована в масштабах с помощью простых инструментов HTTP, что делает ее привлекательной целью для массовых кампаний эксплуатации.
  • Вектор резервного копирования/восстановления: Компоненты, связанные с резервным копированием и удаленным управлением, могут раскрывать конфиденциальные данные или предоставлять злоумышленникам пути для записи файлов, внедрения опций или запуска процессов, которые сохраняют доступ.

Поскольку уязвимость проявляется через веб-запросы и затрагивает очень популярный плагин для резервного копирования/миграции, она классифицируется как высокая приоритетность для немедленного устранения.

Технический обзор (на высоком уровне, неэксплуатирующий)

  • Затронутый компонент: Плагин UpdraftPlus и, в частности, связанные с UpdraftCentral RPC (упоминается как “udrpc” во внутренних конечных точках).
  • Затронутые версии: Версии UpdraftPlus (и/или интегратора UpdraftCentral) до и включая 1.26.4.
  • Исправленная версия: 1.26.5 (обновитесь до этой версии или более поздней для постоянного устранения).
  • Основная проблема: Нарушенная аутентификация / неправильная проверка подлинности запроса в конечной точке RPC. Конечная точка принимает или обрабатывает запросы, которые должны требовать проверенные учетные данные или nonce, но не проверяются должным образом.
  • Поверхность атаки: Публично доступные URL-адреса, раскрывающие функциональность udRPC (обработчики HTTP POST/GET, которые принимают команды/параметры).

Примечание: Мы намеренно не публикуем пошаговый код эксплуатации. Наша цель - дать возможность защитникам обнаруживать и устранять без ускорения автоматизации атак.

Общие векторы атак и реальные сценарии

Злоумышленники, как правило, следуют таким паттернам:

  1. Обнаружение
    • Сканирование сайтов с установленным UpdraftPlus (распространено при перечислении плагинов или известных местоположениях файлов плагинов).
    • Поиск URL-адресов, которые содержат строки, такие как “udrpc”, “updraftcentral” или паттерны, соответствующие удаленным конечным точкам RPC.
  2. Обход аутентификации
    • Отправка подготовленных запросов на конечную точку udRPC, предназначенных для активации кодовых путей, которые пропускают аутентификацию или неправильно обрабатывают токены аутентификации/проверки nonce.
  3. Привилегированное действие
    • После достижения обхода злоумышленники могут попытаться выполнить такие действия, как:
      • Запуск резервного копирования и эксфильтрация полученного архива (если доступно).
      • Запуск восстановления, которое перезаписывает контент или загружает файлы злоумышленника.
      • Создание или изменение записей конфигурации для добавления бэкдора администратора или постоянной опции.
      • Выполнение операций на нижнем уровне через интеграционные хуки.
  4. Устойчивость и боковое перемещение
    • Установка задних дверей, создание администраторских пользователей или добавление запланированных задач для сохранения доступа.
    • Латеральное перемещение к другим интеграторам или подключенным сервисам.

Поскольку эта уязвимость позволяет выполнять несанкционированные действия, даже разведывательные запросы следует рассматривать как вредоносные и регистрировать для последующих действий.

Как быстро определить, был ли ваш сайт нацелен или скомпрометирован

Признаки целенаправленного воздействия или эксплуатации:

  • Необычные POST-запросы к конечным точкам, содержащим “udrpc”, “updraftcentral”, “updraft” или неожиданные параметры, похожие на RPC, в журналах доступа.
  • Запросы от необычных пользовательских агентов или IP-адресов массового сканирования, часто в виде всплесков.
  • Внезапно созданные администраторы или изменения в ролях пользователей.
  • Неожиданные резервные копии, созданные в подозрительное время, или файлы резервных копий, появляющиеся в wp-content/uploads/updraft (или других местах резервного копирования), которые вы не инициировали.
  • Файлы, измененные/созданные WordPress, которые вы не распознаете, особенно в директориях плагинов или загрузок.
  • Необычные исходящие сетевые соединения с неизвестными хостами, инициированные вашим сайтом (проверьте сетевые журналы, если они доступны).

Проверка журналов должна быть выполнена немедленно (примеры):

  • Поиск в журналах веб-сервера по “udrpc”, “updraftcentral” или подобным строкам.
  • Поиск POST-запросов к wp-admin/admin‑ajax.php, содержащим параметры, связанные с Updraft или UpdraftCentral.
  • Просмотр списка пользователей WordPress на наличие неожиданных администраторских аккаунтов:
    • таблица wp_users: неожиданные строки пользователей
    • wp_usermeta: подделка возможностей и ролей.
  • Проверьте время изменения файлов плагинов и директорий загрузок.

Если вы найдете доказательства подозрительной активности, следуйте контрольному списку реагирования на инциденты ниже.

Немедленные меры смягчения (применить в течение нескольких минут)

Если вы не можете обновить плагин прямо сейчас, сделайте следующее немедленно:

  1. Заблокируйте публичный доступ к конечной точке udRPC
    • Используйте ваш WAF, серверный брандмауэр или конфигурацию веб-сервера, чтобы блокировать запросы, содержащие “udrpc” или “updraftcentral” в URL или теле POST, если запрос не исходит от доверенного IP.
  2. Ограничьте доступ к страницам администратора плагина
    • Ограничьте доступ к страницам администратора UpdraftPlus и директориям плагинов (через список разрешенных IP для администраторов).
  3. Временно деактивируйте плагин
    • Если блокировка невозможна или вы подозреваете компрометацию, деактивируйте UpdraftPlus, пока не сможете безопасно обновить.
  4. Измените пароли администратора и обновите секреты
    • Обновите пароли администраторов WordPress, учетные данные базы данных (если подозревается компрометация) и любые ключи API, используемые интеграционными службами.
  5. Включите расширенное ведение журналов и оповещения
    • Включите детализированное ведение журналов подозрительных конечных точек и оповещения о создании новых пользователей-администраторов или изменениях.

Эти меры помогают снизить риски, пока вы готовите полное восстановление.

Виртуальное патчирование и правила WAF, которые вы можете развернуть сейчас

Если у вас есть веб-приложение брандмауэр (WAF) — включая WP‑Firewall — вы можете развернуть виртуальные патчи, которые блокируют попытки эксплуатации на уровне HTTP. Виртуальное патчирование дает вам время, пока вы планируете обновления и реагирование на инциденты.

Рекомендуемые подходы WAF

  • Блокировка по шаблону URL
    • Отказ в запросах, где REQUEST_URI или REQUEST_BODY соответствуют нечувствительным к регистру шаблонам, таким как:
      • udRPC
      • updraftcentral
      • updraft
    • Пример правила в стиле ModSecurity (шаблон): 
      SecRule REQUEST_URI|ARGS|REQUEST_HEADERS "@rx (?i)(udrpc|updraftcentral|updraft)"
    • Примечание: Используйте консервативные правила, которые не нарушают законные рабочие процессы администраторов. При необходимости добавьте известные IP-адреса администраторов в белый список.
  • Требуйте действительные нонсы и куки WordPress
    • Блокируйте запросы к RPC конечным точкам, если они не сопровождаются действительным авторизованным куки или проверенным параметром nonce. Если запрос не имеет куки для аутентификации и пытается вызвать имена действий RPC, связанные с Updraft, отклоните.
  • Блокируйте подозрительные типы контента и кодировки.
    • Отклоняйте запросы с странными кодировками контента или POST-запросы, которые включают base64 блобы, предназначенные для передачи сериализованных данных.
  • Ограничение скорости и контроль репутации.
    • Ограничьте скорость запросов к конечным точкам. Блокируйте IP-адреса с паттернами сканирования.
  • Гео/IP белый список.
    • Если ваши администраторы работают из небольшого набора известных диапазонов IP, ограничьте доступ к чувствительным конечным точкам плагина для этих IP.
  • Мониторинг индикаторов.
    • Создайте оповещение для любых заблокированных запросов, чтобы вы могли расследовать потенциальную активность зондирования.

Клиенты WP-Firewall: мы выпустили правило смягчения, чтобы блокировать общие паттерны эксплуатации для этой проблемы и активно мониторим попытки по нашей сети. Если вам нужна помощь в включении виртуального патча для нескольких сайтов, наша платформа может применять правила централизованно.

Примеры правил ModSecurity и фрагмент nginx (шаблоны).

Используйте их в качестве отправных точек; адаптируйте к вашей среде и тестируйте на тестовом сервере перед производством.

ModSecurity (рекомендуется, тестируйте перед развертыванием):

# Блокировать подозрительный доступ к udRPC (без учета регистра)"

nginx (простое блокирование по URL):

location ~* /(?:(?:udrpc)|(?:updraftcentral)|(?:updraft)) {

Важный: Эти меры являются агрессивными и могут блокировать законные операции, если вы используете UpdraftCentral законно. Используйте белые списки IP или разрешите конкретные IP-адреса администраторов для безопасного административного доступа.

Полное устранение: обновление, проверка и усиление.

  1. Обновите плагин
    • Обновите UpdraftPlus и любые интеграции UpdraftCentral до версии 1.26.5 или более поздней. Это окончательное исправление.
    • Всегда тестируйте обновления на тестовом сайте, где это возможно, перед производством.
  2. Проверьте целостность файлов
    • Сравните файлы плагина с известной хорошей копией (скачайте пакет плагина из официального репозитория плагинов).
    • Ищите недавно измененные файлы с подозрительным содержимым (веб-оболочки, eval(base64_decode(…)), неизвестные PHP файлы).
  3. Изменение учетных данных и ротация ключей
    • Измените пароли администратора, сбросьте ключи API, используемые резервными копиями или внешними сервисами, и измените учетные данные базы данных, если подозреваете компрометацию.
  4. Удалите несанкционированные учетные записи
    • Проверьте wp_users и wp_usermeta на наличие неожиданных учетных записей или изменений ролей и удалите или понизьте в правах любых неавторизованных пользователей.
  5. Проверьте резервные копии и восстановите их безопасно
    • Если резервные копии были созданы или активированы во время подозреваемого окна эксплуатации, обращайтесь с ними как с доказательствами. Не восстанавливайте зараженные резервные копии без предварительной очистки.
  6. Повторно просканируйте на наличие вредоносного ПО
    • Проведите полное сканирование сайта на наличие вредоносного ПО (файлы и база данных) с помощью инструментов, которым вы доверяете. Если возможно, привлеките второго эксперта по безопасности для аудита сайта.
  7. Восстановите услуги
    • После подтверждения чистого состояния повторно включите любые временно отключенные плагины и удалите временные блокировки брандмауэра, ограничив их до минимально необходимой политики.

Если вы обнаружите компрометацию — контрольный список реагирования на инциденты

Если ваш судебно-медицинский обзор указывает на компрометацию, следуйте структурированному реагированию на инциденты:

  1. Изолировать
    • Переведите сайт в режим обслуживания или заблокируйте трафик на брандмауэре. Предотвратите дальнейший доступ злоумышленников.
  2. Сохранение доказательств
    • Сохраните журналы (журналы веб-сервера, WAF, журналы базы данных). Сделайте копии только для чтения для расследования.
  3. Определить область применения
    • Определите, какие учетные записи, файлы и системы были изменены. Проверьте базу данных и папки загрузок.
  4. Устранение
    • Удалите веб-оболочки, неавторизованные плагины/темы и задние двери.
    • Замените измененные файлы ядра/плагина из надежного источника.
  5. Восстанавливаться
    • Восстановите из чистой резервной копии или перестройте из чистой кодовой базы. Измените учетные данные, как только сайт станет чистым.
  6. Мониторинг и обучение
    • Держите сайт в состоянии повышенного мониторинга. Реализуйте более строгие политики, двухфакторную аутентификацию и непрерывное сканирование.
  7. Уведомить заинтересованных лиц
    • Информируйте владельцев сайта, клиентов или затронутых лиц в соответствии с политикой или регламентом.

Если компрометация распространяется за пределы одного сайта (например, в рамках хостинг-среды или на нескольких управляемых сайтах), координируйтесь с вашим хостом или поставщиком безопасности для локализации и устранения.

Рекомендации по укреплению безопасности для снижения будущих рисков

  • Держите ядро WordPress, темы и плагины обновленными и применяйте обновления в контролируемом процессе от тестирования к производству.
  • Минимизируйте использование плагинов: удалите неиспользуемые или избыточные плагины.
  • Используйте минимизацию ролей: предоставляйте права администратора только доверенным пользователям.
  • Используйте надежные пароли и включите двухфакторную аутентификацию для всех пользователей с правами администратора.
  • Ограничьте доступ к wp-admin и критическим конечным точкам плагинов через IP-белый список, когда это возможно.
  • Используйте WAF и включите виртуальное патчирование для уязвимостей с высоким риском.
  • Централизованно отслеживайте журналы и устанавливайте оповещения для неожиданных действий администратора (создание новой учетной записи администратора, установка/удаление плагина).
  • Регулярно тестируйте резервные копии, выполняя восстановление в тестовых средах.
  • Используйте принцип наименьших привилегий для пользователей базы данных и прав на файлы.

Часто задаваемые вопросы

В: Если я обновлюсь до 1.26.5, буду ли я полностью в безопасности?
А: Обновление до исправленной версии устраняет конкретную уязвимость и является окончательным решением. После обновления следуйте шагам проверки выше, чтобы убедиться, что не осталось следов от предыдущей эксплуатации.

В: Мой хост предоставляет автоматические обновления. Этого достаточно?
А: Автоматические обновления снижают риск, но вы все равно должны проверить, что обновление прошло успешно, и просканировать ваш сайт на наличие признаков компрометации, которые произошли до обновления.

В: Должен ли я отключить UpdraftPlus, пока не смогу обновить?
А: Если вы не можете немедленно применить патч или виртуальный патч, временно деактивируйте плагин. Деактивация предотвращает выполнение уязвимого кода.

В: Могут ли злоумышленники эксфильтровать резервные копии?
А: Да — если злоумышленники могут инициировать резервные копии, а затем получить их, конфиденциальные файлы и дампы базы данных могут быть эксфильтрованы. Это основная причина рассматривать эту уязвимость как высокую риск.

Бесплатный план защиты WP‑Firewall — Защитите свой сайт сейчас

Быстрая, необходимая защита для каждого сайта на WordPress

Если вы хотите быстро снизить риск, пока обновляете плагины и проводите судебные проверки, рассмотрите возможность добавления дополнительного уровня защиты с помощью WP‑Firewall. Наш базовый (бесплатный) план предоставляет вашему сайту необходимую управляемую защиту брандмауэра, адаптированную для WordPress:

  • Управляемый межсетевой экран с 10 лучшими мерами по смягчению последствий OWASP
  • Правила веб-приложений брандмауэра (WAF), которые могут блокировать известные шаблоны эксплуатации
  • Неограниченная пропускная способность и сканирование на наличие вредоносного ПО для помощи в обнаружении подозрительных файлов
  • Централизованное развертывание правил, чтобы вы могли применять виртуальные патчи без изменения кода сайта

Зарегистрируйтесь на базовый (бесплатный) план сейчас, чтобы получить немедленную виртуальную защиту, пока вы обновляете UpdraftPlus: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Если вам нужна автоматическая удаление, индивидуальный белый список IP или непрерывное виртуальное патчирование в больших масштабах, оцените наши платные планы, которые включают автоматическое удаление вредоносного ПО, ежемесячные отчеты по безопасности и автоматическое виртуальное патчирование уязвимостей.)

Заключительные заметки и следующие шаги

  • Немедленное действие: обновите UpdraftPlus до версии 1.26.5 или более поздней как можно скорее.
  • Если вы не можете обновить немедленно, реализуйте виртуальное патчирование (блокируйте доступ, похожий на udRPC), ограничьте страницы плагинов для IP-адресов администраторов или временно деактивируйте плагин.
  • Мониторьте журналы на предмет активности сканирования и индикаторов, таких как запросы “udrpc”.
  • Если вы подозреваете компрометацию, следуйте контрольному списку реагирования на инциденты и рассматривайте резервные копии, созданные в период компрометации, как потенциально зараженные.

Мы в WP‑Firewall отслеживаем схемы атак, связанные с этой проблемой, и выпустили правила смягчения, которые можно применить мгновенно. Если вы управляете несколькими сайтами, централизованное виртуальное патчирование и мониторинг могут значительно сократить время, в течение которого ваши активы подвержены риску.

Для получения помощи в включении виртуального патчирования, развертывании рекомендуемых правил WAF или проведении оценки компрометации, свяжитесь с вашей командой безопасности или обратитесь в канал поддержки WP‑Firewall в вашей панели управления.

Будьте в безопасности и приоритизируйте патчирование — это срочно.

— Команда безопасности WP‑Firewall

Ссылки и ресурсы

  • CVE: CVE‑2026‑10795
  • Исправленный релиз UpdraftPlus: 1.26.5 (примените немедленно)
  • Общие рекомендации по обработке инцидентов WordPress (следуйте шагам в этом уведомлении)
wordpress security update banner

Получайте WP Security Weekly бесплатно 👋
Зарегистрируйтесь сейчас!!

Подпишитесь, чтобы каждую неделю получать обновления безопасности WordPress на свой почтовый ящик.

Мы не спамим! Читайте наши политика конфиденциальности для получения более подробной информации.

Свяжитесь с нами, чтобы запланировать бесплатную консультацию по безопасности WordPress.

Связаться с нами

WP-брандмауэр
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Гонконг

Функции Ценообразование Блог Авторизоваться
политика конфиденциальности Условия обслуживания Документы Партнер

© 2026 WP-Firewall™