Popularna wtyczka WordPress All-in-One WP Migration używana do migracji witryn internetowych zawiera krytyczną lukę w zabezpieczeniach, która może narazić miliony witryn internetowych na ryzyko zainfekowania. Ta wtyczka usprawnia proces przenoszenia zawartości witryny WordPress, baz danych, multimediów, wtyczek i motywów z jednej lokalizacji do drugiej. Badacz bezpieczeństwa Rafie Muhammad z Patchstack zidentyfikował lukę i 18 lipca zgłosił ją dostawcy wtyczki, firmie ServMask.
Luka, oznaczona jako CVE-2023-40004 może pozwolić na nieautoryzowany dostęp i manipulowanie wrażliwymi danymi witryny internetowej. Umożliwia nieautoryzowanym użytkownikom dostęp do konfiguracji tokenów w rozszerzeniach. Dzięki temu wprawny haker będzie mógł wykorzystać tę lukę do przekierowania danych migracji do miejsc docelowych lub przywrócenia złośliwych kopii zapasowych.
Krytyczna luka w zabezpieczeniach wtyczki
Ta wada wykracza poza podstawową wtyczkę. Kilka rozszerzeń premium, zaprojektowanych w celu ułatwienia migracji za pośrednictwem usług innych firm, takich jak Box, Google Drive, OneDrive i Dropbox, zawiera dokładny fragment podatnego kodu.
Istotność tej luki zwiększa sama liczba aktywnych instalacji, która wynosi około 5 milionów. Osoba atakująca wykorzystująca tę lukę może uzyskać dostęp do kompleksowych baz danych, danych użytkowników, informacji zastrzeżonych i innych krytycznych danych witryny internetowej.
Wtyczka All-in-One WP Migration jest zazwyczaj aktywna tylko czasami i jest używana głównie podczas migracji. Jednakże ryzyko naruszenia bezpieczeństwa jest znacznie zwiększone przez dużą liczbę aktywnych instalacji.
Autorzy wtyczki szybko reagują
Po odkryciu i zgłoszeniu Rafiego Muhammada firma ServMask podjęła szybkie działania i 26 lipca wypuściła aktualizację zabezpieczeń, dodającą uprawnienia i weryfikację jednorazową do funkcji wtyczek i rozszerzeń, których dotyczy problem.
Użytkownikom korzystającym z narzędzia All-in-One WP Migration i powiązanych z nim rozszerzeń zdecydowanie zaleca się aktualizację do następujących poprawionych wersji:
- Rozszerzenie skrzynki: v1.54
- Rozszerzenie Dysku Google: v2.80
- Rozszerzenie OneDrive: v1.67
- Rozszerzenie Dropbox: v3.76
- Migracja WP typu „wszystko w jednym”: wersja 7.78
Aktualizacja do tych wersji załata lukę i zabezpieczy strony internetowe przed wykorzystaniem. – Dla osób korzystających z All-in-One WP Migration i związanych z nią rozszerzeń aktualizacja do najnowszych wersji to nie tylko zalecenie, ale niezbędny krok w utrzymaniu integralności i bezpieczeństwa ich witryn WordPress – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Źródło: Marken Systemy Antywirusowe