Ошибка надстройки миграции WordPress может привести к утечке данных

All-in-One WP Migration, популярный плагин миграции данных для сайтов WordPress с 5 млн активных установок, может позволить злоумышленникам получить доступ к конфиденциальной информации сайта.

Ошибка надстройки миграции WordPress может привести к утечке данных. Фото: СС0

All-in-One WP Migration — это удобный инструмент миграции сайтов WordPress для нетехнических и неопытных пользователей, позволяющий плавно экспортировать базы данных, мультимедиа, плагины и темы в единый архив, который легко восстановить на новом месте.

Сообщается, что различные премиум-расширения, предлагаемые поставщиком плагина ServMask, содержат один и тот же фрагмент уязвимого кода, которому не хватает разрешений и проверки nonce в функции инициализации.

Этот код присутствует в расширении Box, расширении Google Drive, расширении One Drive и расширении Dropbox, которые были созданы для облегчения процедур миграции данных с использованием указанных сторонних платформ.

Уязвимость, отслеживаемая как CVE-2023-40004, позволяет неаутентифицированным пользователям получать доступ и манипулировать конфигурациями токенов в затронутых расширениях. Это потенциально позволяет злоумышленникам перенаправлять данные миграции веб-сайтов в свои собственные учетные записи сторонних облачных служб или восстанавливать вредоносные резервные копии.

Основным последствием успешного использования CVE-2023-40004 является утечка данных. В их числе информация пользователя, веб-сайта и другой конфидент.

Проблема безопасности несколько смягчается тем фактом, что All-in-One WP Migration используется только во время проектов миграции сайтов и обычно не активен в другое время.

Нарушение контроля доступа было обнаружено исследователем PatchStack Рафи Мухаммадом 18 июля 2023 года. Информация передана в ServMask для исправления.

26 июля 2023 г. поставщик выпустил обновления безопасности, включив в функцию init проверку разрешений и nonce.

Специалисты рекомендуют обновить ПО, если это не было сделано по каким-то причинам.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.