Luka w zabezpieczeniach WordPress
- Janusz Chustecki,
- 04.09.2023, godz. 10:18
We wtyczce All-in-One WP Migration, która obsługuje usługę WordPress i jest używana do migracji witryn internetowych, zidentyfikowano krytyczną lukę w zabezpieczeniach. Sprawa jest poważana, a istotność tej luki zwiększa sama liczba aktywnych instalacji, która wynosi około 5 milionów.
Osoba atakująca wykorzystująca tę podatność może uzyskać dostęp do kompleksowych baz danych, danych użytkowników, informacji zastrzeżonych i innych krytycznych danych witryny internetowej. Wtyczka All-in-One WP Migration jest co prawda używana głównie podczas migracji, jednakże ryzyko naruszenia bezpieczeństwa jest znacznie zwiększone przez dużą liczbę aktywnych instalacji. All-in-One WP Migration usprawnia proces przenoszenia zawartości witryny WordPress, baz danych, multimediów, wtyczek i motywów z jednej lokalizacji do drugiej.
Badacz bezpieczeństwa Rafie Muhammad z Patchstack zidentyfikował lukę i 18 lipca zgłosił ją dostawcy wtyczki, firmie ServMask. Luka, oznaczona jako CVE-2023-40004, może pozwolić na nieautoryzowany dostęp i manipulowanie wrażliwymi danymi witryny internetowej. Umożliwia nieautoryzowanym użytkownikom dostęp do konfiguracji tokenów w rozszerzeniach. Dzięki temu wprawny haker będzie mógł wykorzystać tę lukę do przekierowania danych migracji do miejsc docelowych lub przywrócenia złośliwych kopii zapasowych.
Zobacz również:
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
- Zabezpieczenia MS Teams złamane - udało się uruchomić malware
- Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
Po odkryciu i zgłoszeniu Rafiego Muhammada, firma ServMask podjęła szybkie działania i 26 lipca wypuściła aktualizację zabezpieczeń, dodającą uprawnienia i weryfikację jednorazową do funkcji wtyczek i rozszerzeń, których dotyczy problem. Użytkownikom korzystającym z narzędzia All-in-One WP Migration i powiązanych z nim rozszerzeń zdecydowanie zaleca się aktualizację do następujących poprawionych wersji: rozszerzenie skrzynki: v1.54, rozszerzenie Dysku Google: v2.80, rozszerzenie OneDrive: v1.67, rozszerzenie Dropbox: v3.76, migracja WP typu „wszystko w jednym”: wersja 7.78.
Źródło: Marken Systemy Antywirusowe