关于WordPress Backup & Migration远程代码执行漏洞（CVE-2023-6553）的安全预警

一、基本情况

Backup & Migration是一个安装量超过 90,000 次WordPress 插件，可帮助管理员自动将网站备份到本地存储或 Google 云端硬盘帐户。

WordPress Backup & Migration中存在一个远程代码执行漏洞（CVE-2023-6553），该漏洞的CVSSv3评分为9.8。

WordPress Backup & Migration 1.3.7 及之前版本中，由于威胁者可以控制传递给include的值，导致可在未经身份验证的情况下通过/includes/backup-heart.php 文件执行PHP 代码注入，实现远程代码执行。

WordPress Backup & Migration <= 1.3.7

目前该漏洞已经修复，受影响用户可升级到Backup & Migration插件1.3.8或更高版本。

下载链接：

https://wordpress.org/plugins/backup-backup/

https://www.wordfence.com/blog/2023/12/critical-unauthenticated-remote-code-execution-found-in-backup-migration-plugin/

https://www.bleepingcomputer.com/news/security/50k-wordpress-sites-exposed-to-rce-attacks-by-critical-bug-in-backup-plugin/