Уязвимость в нескольких расширениях плагина All-in-One WP Migration, который насчитывает более 5 млн установок, позволяет манипулировать токенами доступа без аутентификации. В результате злоумышленники могут получить доступ к конфиденциальной информации сайта.

All-in-One WP Migration — инструмент миграции, предназначенный для неопытных пользователей. Он позволяет владельцам WordPress-сайтов экспортировать базы данных, мультимедиа, плагины и темы в единый архив, который потом можно без труда развернуть на новом месте.

Специалисты компании Patchstack предупреждают об уязвимости, затрагивающей премиум-расширения Box, Google Drive, OneDrive и Dropbox, которые созданы для облегчения миграции данных с этих сторонних платформ.

Проблема получила идентификатор CVE-2023-40004 и позволяет манипулировать токенами доступа без аутентификации, то есть позволяет злоумышленнику, не прошедшему аутентификацию, изменять конфигурацию токена уязвимого расширения.

Уязвимость была обнаружена в функции init, которая подключена к хуку WordPress admin_init, который, в свою очередь, может быть запущен злоумышленником без аутентификации.

«Такие манипуляции с токенами доступа потенциально могут привести к раскрытию конфиденциальной информации, миграции в контролируемую злоумышленником стороннюю учетную запись или к восстановлению вредоносной резервной копии», — объясняют эксперты Patchstack.

То есть основным последствием эксплуатации CVE-2023-40004 может стать утечка данных, включающая данные пользователей, важные данные сайта и прочую конфиденциальную информацию.

В конце июля 2023 года разработчики выпустили обновленные версии плагина и расширений, в которых баг был исправлен. Теперь пользователям рекомендуется как можно скорее обновиться до Box 1.54, Google Drive 2.80, OneDrive 1.67 и Dropbox 3.76. Также рекомендуется использовать последнюю бесплатную версию базового плагина All-in-One WP Migration — 7.78.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии