All-in-One WP Migration 是一款流行的 WordPress 网站数据迁移插件,拥有 500 万个活跃安装量,它受到未经身份验证的访问令牌操纵的影响,可能允许攻击者访问敏感的网站信息。
All-in-One WP Migration 是一款用户友好的 WordPress 网站迁移工具 ,适合非技术和缺乏经验的用户,允许将数据库、媒体、插件和主题无缝导出到单个存档中,以便在新目的地上轻松恢复。
Patchstack 报告称 ,该插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击的代码片段,这些代码在 init 函数中缺乏权限和随机数验证。
此代码存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中,这些扩展是为了促进使用上述第三方平台的数据迁移过程而创建的。
该漏洞编号为 CVE-2023-40004,允许未经身份验证的用户访问和操纵受影响扩展程序上的令牌配置,从而可能允许攻击者将网站迁移数据转移到自己的第三方云服务帐户或恢复恶意备份。
成功利用 CVE-2023-40004 的主要后果是数据泄露,其中可能包括用户详细信息、关键网站数据和专有信息。
由于 All-in-One WP Migration 仅在站点迁移项目期间使用,并且通常不应在任何其他时间处于活动状态,这一事实在一定程度上缓解了安全问题。
PatchStack 的研究员 Rafie Muhammad 于 2023 年 7 月 18 日发现了这个损坏的访问控制缺陷,并向 ServMask 报告进行修复。
该供应商于 2023 年 7 月 26 日发布了安全更新,为 init 函数引入了权限和随机数验证。
建议受影响的高级第三方扩展的用户升级到以下修复版本:
- Box Extension: v1.54
- Google Drive Extension: v2.80
- OneDrive Extension: v1.67
- Dropbox Extension: v3.76
此外,建议用户使用最新版本的(免费)基础插件 All-in-One WP Migration v7.78。
评论