Konferencje

Wtyczka do WordPressa naraża miliony stron internetowych na cyberzagrożenia

Popularna wtyczka WordPress All-in-One WP Migration używana do migracji witryn internetowych zawiera krytyczną lukę w zabezpieczeniach, która może narazić miliony witryn internetowych na ryzyko zainfekowania. Ta wtyczka usprawnia proces przenoszenia zawartości witryny WordPress, baz danych, multimediów, wtyczek i motywów z jednej lokalizacji do drugiej. Badacz bezpieczeństwa Rafie Muhammad z Patchstack zidentyfikował lukę i 18 lipca zgłosił ją dostawcy wtyczki, firmie ServMask.

Luka, oznaczona jako CVE-2023-40004  może pozwolić na nieautoryzowany dostęp i manipulowanie wrażliwymi danymi witryny internetowej. Umożliwia nieautoryzowanym użytkownikom dostęp do konfiguracji tokenów w rozszerzeniach. Dzięki temu wprawny haker będzie mógł wykorzystać tę lukę do przekierowania danych migracji do miejsc docelowych lub przywrócenia złośliwych kopii zapasowych.

Krytyczna luka w zabezpieczeniach wtyczki

Ta wada wykracza poza podstawową wtyczkę. Kilka rozszerzeń premium, zaprojektowanych w celu ułatwienia migracji za pośrednictwem usług innych firm, takich jak Box, Google Drive, OneDrive i Dropbox, zawiera dokładny fragment podatnego kodu.

Istotność tej luki zwiększa sama liczba aktywnych instalacji, która wynosi około 5 milionów. Osoba atakująca wykorzystująca tę lukę może uzyskać dostęp do kompleksowych baz danych, danych użytkowników, informacji zastrzeżonych i innych krytycznych danych witryny internetowej.

Wtyczka All-in-One WP Migration jest zazwyczaj aktywna tylko czasami i jest używana głównie podczas migracji. Jednakże ryzyko naruszenia bezpieczeństwa jest znacznie zwiększone przez dużą liczbę aktywnych instalacji.

Autorzy wtyczki szybko reagują

Po odkryciu i zgłoszeniu Rafiego Muhammada firma ServMask podjęła szybkie działania i 26 lipca wypuściła aktualizację zabezpieczeń, dodającą uprawnienia i weryfikację jednorazową do funkcji wtyczek i rozszerzeń, których dotyczy problem.

Użytkownikom korzystającym z narzędzia All-in-One WP Migration i powiązanych z nim rozszerzeń zdecydowanie zaleca się aktualizację do następujących poprawionych wersji:

  • Rozszerzenie skrzynki: v1.54
  • Rozszerzenie Dysku Google: v2.80
  • Rozszerzenie OneDrive: v1.67
  • Rozszerzenie Dropbox: v3.76
  • Migracja WP typu „wszystko w jednym”: wersja 7.78

Aktualizacja do tych wersji załata lukę i zabezpieczy strony internetowe przed wykorzystaniem. – Dla osób korzystających z All-in-One WP Migration i związanych z nią rozszerzeń aktualizacja do najnowszych wersji to nie tylko zalecenie, ale niezbędny krok w utrzymaniu integralności i bezpieczeństwa ich witryn WordPress – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

Źródło: Marken Systemy Antywirusowe

Udostępnij
Zobacz także