All in One WP Migration – popularna wtyczka dla WordPress nara偶ona na naruszenie danych

Popularna wtyczka do migracji danych dla witryn WordPress, All-in-One WP Migration, z 5 milionami aktywnych instalacji, boryka si臋 z problemami zwi膮zanymi z nieautoryzowan膮 manipulacj膮 tokenem dost臋pu, co potencjalnie umo偶liwia atakuj膮cym uzyskanie dost臋pu do poufnych informacji witryny.

All in One WP Migration - popularna wtyczka dla WordPress nara偶ona na naruszenie danych, itweek.pl
All-in-One WP Migration - popularna wtyczka dla WordPress nara偶ona na naruszenie danych, itweek.pl
Reklama:

Popularna wtyczka do migracji danych dla witryn WordPress, All in One WP Migration, z 5 milionami aktywnych instalacji, boryka si臋 z problemami zwi膮zanymi z nieautoryzowan膮 manipulacj膮 tokenem dost臋pu, co potencjalnie umo偶liwia atakuj膮cym uzyskanie dost臋pu do poufnych informacji witryny.

All-in-One WP Migration to intuicyjne narz臋dzie przeznaczone do migracji witryn WordPress, adresowane do u偶ytkownik贸w nienale偶膮cych do bran偶y technicznej, umo偶liwiaj膮ce p艂ynne eksportowanie baz danych, medi贸w, wtyczek i motyw贸w do pojedynczego archiwum, kt贸re mo偶na 艂atwo przywr贸ci膰 w nowym miejscu.

Patchstack informuje, 偶e r贸偶ne p艂atne rozszerzenia oferowane przez dostawc臋 wtyczki, firm臋 ServMask, zawieraj膮 ten sam podatny na ataki kod, kt贸ry umo偶liwia atakuj膮cym uzyskanie dost臋pu do konfiguracji token贸w w rozszerzeniach. Dotkni臋ty kod pozbawiony jest odpowiednich uprawnie艅 i weryfikacji jednorazowej w funkcji init.

Kod ten wyst臋puje w rozszerzeniach takich jak Box, Google Drive, One Drive i Dropbox, kt贸re zosta艂y stworzone w celu u艂atwienia proces贸w migracji danych przy wykorzystaniu wymienionych platform zewn臋trznych.

Ujawniona luka bezpiecze艅stwa, oznaczona jako CVE-2023-40004, pozwala nieuwierzytelnionym u偶ytkownikom uzyska膰 dost臋p do konfiguracji token贸w w powi膮zanych z nimi rozszerzeniach oraz manipulowa膰 nimi. To z kolei otwiera drzwi atakuj膮cym do przechwycenia danych migracji witryny i przekierowania ich na w艂asne konta w us艂ugach chmurowych stron trzecich lub do przywracania z艂o艣liwych kopii zapasowych.

G艂贸wn膮 konsekwencj膮 skutecznego wykorzystania luki CVE-2023-40004 jest naruszenie danych, w tym potencjalnie informacji u偶ytkownik贸w, istotnych danych witryny i poufnych tre艣ci.

Warto jednak podkre艣li膰, 偶e problem bezpiecze艅stwa jest cz臋艣ciowo ograniczony tym, 偶e migracja przy u偶yciu WP All-in-One wyst臋puje tylko podczas proces贸w przenoszenia witryny i zwykle nie jest aktywna w innych momentach.

Uszkodzon膮 luk臋 w kontroli dost臋pu wykry艂 badacz Patchstack, Rafie Muhammad, 18 lipca 2023 roku i poinformowa艂 o tym firm臋 ServMask w celu podj臋cia dzia艂a艅 naprawczych.

Dostawca udost臋pni艂 aktualizacje zabezpiecze艅 26 lipca 2023 roku, wprowadzaj膮c weryfikacj臋 uprawnie艅 i unikalnych warto艣ci do funkcji init. Osobom korzystaj膮cym z dotkni臋tych problemem rozszerze艅 innych firm zaleca si臋 aktualizacj臋 do nast臋puj膮cych ulepszonych wersji:

  • Rozszerzenie Box: v1.54
  • Rozszerzenie Google Drive: v2.80
  • Rozszerzenie OneDrive: v1.67
  • Rozszerzenie Dropbox: v3.76

Dodatkowo, zaleca si臋, aby u偶ytkownicy korzystali z najnowszej wersji (darmowej) podstawowej wtyczki All-in-One WP Migration, tj. wersji v7.78.

Czym jest All in One WP Migration – wtyczka do migracji stron WordPress?

All in One WP Migration to narz臋dzie w postaci wtyczki, kt贸re pozwala na p艂ynne przeniesienie planowanej strony z jednego serwera na inny. Dodatkowo, plugin posiada istotn膮 cech臋, umo偶liwiaj膮c膮 tworzenie kopii bezpiecze艅stwa. Dla os贸b prowadz膮cych mniejsze witryny internetowe, poszukiwanie p艂atnych wtyczek do wykonywania kopii zapasowych nie jest konieczno艣ci膮. Darmowa wersja podstawowa All in One WP Migration pozwala na stworzenie kopii zapasowej strony i zapisanie jej na lokalnym dysku komputera. To praktyczne rozwi膮zanie, a zarchiwizowan膮 kopi臋 z dysku lokalnego (czyli komputera) mo偶na p贸藕niej przetransferowa膰 na dysk w chmurze, jak na przyk艂ad Google Drive czy Dropbox.

Reklama: