6 月 13 日揭露的 CVE-2026-10795(CVSS 8.1),打中 WordPress 生態最普及的備份外掛之一——UpdraftPlus,受影響版本 ≤ 1.26.4,安裝量逾 300 萬站。本質是認證繞過導致遠端程式碼執行:未授權攻擊者偽造遠端通訊指令,以「已連線管理員」身分執行命令,上傳並啟用惡意外掛拿下整站。不是猜密碼,而是簽章驗證寫壞、加上一把可預測的全零金鑰,任何人都能冒充站長。對用 WordPress 接案、又幾乎一定裝備份外掛的團隊,這是本週必處理的一條。
把原理講成人話:UpdraftPlus 有個遠端通訊協定,問題出在簽章驗證邏輯有瑕疵,加上加密金鑰在某些情況「解密成全為零」。兩者疊加,攻擊者不需帳密就能偽造通過驗證的 RPC 指令。攻擊鏈:偽造遠端指令 → 以管理員上傳惡意外掛 → 啟用 → 取得 RCE。和需登入的漏洞不同,這是未認證就能打。
受影響範圍:UpdraftPlus 逾 300 萬安裝,而 WordPress 驅動全球約 43% 網站。雖尚未列入 CISA KEV,但情資建議以 KEV 等級對待,龐大基數加未認證 RCE 極可能引來快速掃描。
技術細節(漏洞類型 + 攻擊路徑)
- 類型:Authentication Bypass(CWE-287)→ RCE。
- 根因:遠端通訊簽章驗證瑕疵 + decrypt-to-zero 可預測金鑰。
- 前置條件:UpdraftPlus ≤ 1.26.4 且遠端通訊可達;無需登入、無需互動。
- PoC:技術細節隨研究公開,預期武器化迅速。
三類讀者的立刻行動
- 系統管理員:立刻升級至 1.26.4 以上;WAF 封鎖對遠端通訊端點的未授權 POST;檢查非預期管理員帳號、近期新裝外掛、無法解釋的檔案異動。
- 開發者:跑完整惡意程式掃描;比對外掛檔案 hash;檢視 wp-content/plugins 變更時間。
- 接案商:用範本對客戶發通告,把外掛安全更新納入月費維護。
補丁 vs 緩解措施對照
| 情境 | 立即補丁 | 無法立即補丁時的緩解 |
|---|---|---|
| 一般站台 | 升級 UpdraftPlus ≥ 1.26.4 | WAF 封鎖遠端通訊端點未授權請求 |
| 暫不能更新 | — | 停用 UpdraftPlus,改用伺服器層備份 |
| 已疑似入侵 | 升級後仍需清查 | 隔離站台、輪換金鑰與密碼、還原乾淨備份 |
IOC 與威脅情資
- 非預期新增管理員帳號(查 wp_users 與建立時間)。
- wp-content/plugins 內不明外掛目錄或被竄改的 PHP 檔。
- 指向外部 C2 的連線、webshell 常見檔名(如 wp-conf.php)。
- 遠端通訊端點出現大量未授權 POST。
不會告訴你的事
- 「升級就沒事」是錯覺:若更新前已被打,後門帳號與 webshell 不會自己消失,須另做清查。
- 很多站的 UpdraftPlus 是裝了就忘、版本停在一年前——真正的風險是你不知道哪些客戶站還在跑舊版。
這代表的更大趨勢
WordPress 外掛供應鏈正成為主戰場:打穿一個外掛等於打穿數百萬站。揭露到實戰利用持續壓縮,「每月巡檢」已不夠,安全更新需做到 24-48 小時內。SecOps 從「修自己的伺服器」轉為「替一整批客戶站集中更新與監控」。
常見問題 FAQ
怎麼快速確認客戶站有沒有裝 UpdraftPlus?
後台外掛清單搜尋 UpdraftPlus,或用 WP-CLI 跑 wp plugin list --status=active 批次盤點;多站用 ManageWP、MainWP 一次掃。
升級之後還要做什麼才算安全?
升級只是第一步,接著掃惡意程式、查管理員帳號、比對檔案完整性;任一異常視同入侵,要隔離、輪換金鑰、從乾淨備份還原。
這漏洞需要攻擊者先登入嗎?
不需要。未認證漏洞,掃描器找到舊版站就能直接打,這正是它危險的原因。
我的觀點
主流建議「開啟外掛自動更新就好」。我的判斷:對接案商,自動更新反而危險——大版更新常帶相容性破壞,可能半夜搞掛客戶站。該做的是分級更新策略:安全修補走快速通道、24 小時內手動驗證後更新;功能大版進測試環境跑過再上。對 ScriptWalker 的啟示:把「外掛安全巡檢 + 分級更新」做成月費維護的明確條款,這次 CVE 是最好的銷售說帖。