Popularna wtyczka WordPress All-in-One WP Migration używana do migracji witryn internetowych zawiera krytyczną lukę w zabezpieczeniach, która może narazić miliony witryn internetowych na ryzyko zainfekowania. Ta wtyczka usprawnia proces przenoszenia zawartości witryny WordPress, baz danych, multimediów, wtyczek i motywów z jednej lokalizacji do drugiej. Badacz bezpieczeństwa Rafie Muhammad z Patchstack zidentyfikował lukę i 18 lipca zgłosił ją dostawcy wtyczki, firmie ServMask.
Krytyczna luka w zabezpieczeniach wtyczki
Luka, oznaczona jako CVE-2023-40004 może pozwolić na nieautoryzowany dostęp i manipulowanie wrażliwymi danymi witryny internetowej. Umożliwia nieautoryzowanym użytkownikom dostęp do konfiguracji tokenów w rozszerzeniach. Dzięki temu wprawny haker będzie mógł wykorzystać tę lukę do przekierowania danych migracji do miejsc docelowych lub przywrócenia złośliwych kopii zapasowych.
Ta wada wykracza poza podstawową wtyczkę. Kilka rozszerzeń premium, zaprojektowanych w celu ułatwienia migracji za pośrednictwem usług innych firm, takich jak Box, Google Drive, OneDrive i Dropbox, zawiera dokładny fragment podatnego kodu.
Istotność tej luki zwiększa sama liczba aktywnych instalacji, która wynosi około 5 milionów. Osoba atakująca wykorzystująca tę lukę może uzyskać dostęp do kompleksowych baz danych, danych użytkowników, informacji zastrzeżonych i innych krytycznych danych witryny internetowej.
Wtyczka All-in-One WP Migration jest zazwyczaj aktywna tylko czasami i jest używana głównie podczas migracji. Jednakże ryzyko naruszenia bezpieczeństwa jest znacznie zwiększone przez dużą liczbę aktywnych instalacji.
Autorzy wtyczki szybko reagują
Po odkryciu i zgłoszeniu Rafiego Muhammada firma ServMask podjęła szybkie działania i 26 lipca wypuściła aktualizację zabezpieczeń, dodającą uprawnienia i weryfikację jednorazową do funkcji wtyczek i rozszerzeń, których dotyczy problem.
Użytkownikom korzystającym z narzędzia All-in-One WP Migration i powiązanych z nim rozszerzeń zdecydowanie zaleca się aktualizację do następujących poprawionych wersji:
- Rozszerzenie skrzynki: v1.54
- Rozszerzenie Dysku Google: v2.80
- Rozszerzenie OneDrive: v1.67
- Rozszerzenie Dropbox: v3.76
- Migracja WP typu „wszystko w jednym”: wersja 7.78
- Aktualizacja do tych wersji załata lukę i zabezpieczy strony internetowe przed wykorzystaniem.
– Dla osób korzystających z All-in-One WP Migration i związanych z nią rozszerzeń aktualizacja do najnowszych wersji to nie tylko zalecenie, ale niezbędny krok w utrzymaniu integralności i bezpieczeństwa ich witryn WordPress – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.