Vulnerabilitatea din pluginul Migration expune site-urile WordPress la atacuri

O vulnerabilitate existentă în mai multe extensii ale pluginului All-in-One WP Migration expune site-urile WordPress la atacuri ce ar putea duce la dezvăluirea de informații sensibile.

Cu peste cinci milioane de instalări și întreținut de ServMask, All-in-One WP Migration este un plugin foarte popular folosit pentru migrarea site-urilor web.

De curând, firma de securitate WordPress Patchstack a dezvăluit detalii despre o vulnerabilitate care afectează extensiile Box, Google Drive, OneDrive și Dropbox ale All-in-One WP Migration și care ar putea permite atacatorilor să acceseze informații sensibile.

Urmărită ca CVE-2023-40004 și descrisă ca fiind o vulnerabilitate de tip unauthenticated access token manipulation, aceasta ar putea permite unei persoane rău intenționate neautentificate să modifice configurația token-urilor de acces a extensiei afectate.

Vulnerabilitatea a fost identificată în cadrul funcției init a extensiilor menționate, care este atașată la funcția admin_init a WordPress.

Din cauza faptului că nu există o validare a permisiunilor în funcția init, un utilizator neautentificat poate modifica sau șterge token-ul de acces utilizat pe fiecare dintre extensiile afectate.

Ulterior, firma de securitate a raportat vulnerabilitatea care a și fost remediată în toate extensiile afectate.

Utilizatorii sunt sfătuiți să actualizeze extensia Box la versiunea 1.54, extensia Google Drive la versiunea 2.80, extensia OneDrive la versiunea 1.67 și extensia Dropbox la versiunea 3.76, care au fost lansate la sfârșitul lunii iulie.

Sursă: https://www.securityweek.com/vulnerability-in-wordpress-migration-plugin-exposes-websites-to-attacks/