Luka w zabezpieczeniach WordPress

We wtyczce All-in-One WP Migration, która obsługuje usługę WordPress i jest używana do migracji witryn internetowych, zidentyfikowano krytyczną lukę w zabezpieczeniach. Sprawa jest poważana, a istotność tej luki zwiększa sama liczba aktywnych instalacji, która wynosi około 5 milionów.

Grafika: Wordpress

Osoba atakująca wykorzystująca tę podatność może uzyskać dostęp do kompleksowych baz danych, danych użytkowników, informacji zastrzeżonych i innych krytycznych danych witryny internetowej. Wtyczka All-in-One WP Migration jest co prawda używana głównie podczas migracji, jednakże ryzyko naruszenia bezpieczeństwa jest znacznie zwiększone przez dużą liczbę aktywnych instalacji. All-in-One WP Migration usprawnia proces przenoszenia zawartości witryny WordPress, baz danych, multimediów, wtyczek i motywów z jednej lokalizacji do drugiej.

Badacz bezpieczeństwa Rafie Muhammad z Patchstack zidentyfikował lukę i 18 lipca zgłosił ją dostawcy wtyczki, firmie ServMask. Luka, oznaczona jako CVE-2023-40004, może pozwolić na nieautoryzowany dostęp i manipulowanie wrażliwymi danymi witryny internetowej. Umożliwia nieautoryzowanym użytkownikom dostęp do konfiguracji tokenów w rozszerzeniach. Dzięki temu wprawny haker będzie mógł wykorzystać tę lukę do przekierowania danych migracji do miejsc docelowych lub przywrócenia złośliwych kopii zapasowych.

Zobacz również:

  • IBM Power10 w Inter Cars
  • Zabezpieczenia MS Teams złamane - udało się uruchomić malware
  • Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem

Po odkryciu i zgłoszeniu Rafiego Muhammada, firma ServMask podjęła szybkie działania i 26 lipca wypuściła aktualizację zabezpieczeń, dodającą uprawnienia i weryfikację jednorazową do funkcji wtyczek i rozszerzeń, których dotyczy problem. Użytkownikom korzystającym z narzędzia All-in-One WP Migration i powiązanych z nim rozszerzeń zdecydowanie zaleca się aktualizację do następujących poprawionych wersji: rozszerzenie skrzynki: v1.54, rozszerzenie Dysku Google: v2.80, rozszerzenie OneDrive: v1.67, rozszerzenie Dropbox: v3.76, migracja WP typu „wszystko w jednym”: wersja 7.78.

Źródło: Marken Systemy Antywirusowe

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200