Popularna wtyczka do migracji danych dla witryn WordPress, All in One WP Migration, z 5 milionami aktywnych instalacji, boryka się z problemami związanymi z nieautoryzowaną manipulacją tokenem dostępu, co potencjalnie umożliwia atakującym uzyskanie dostępu do poufnych informacji witryny.
All-in-One WP Migration to intuicyjne narzędzie przeznaczone do migracji witryn WordPress, adresowane do użytkowników nienależących do branży technicznej, umożliwiające płynne eksportowanie baz danych, mediów, wtyczek i motywów do pojedynczego archiwum, które można łatwo przywrócić w nowym miejscu.
Patchstack informuje, iż różne płatne rozszerzenia oferowane przez dostawcę wtyczki, firmę ServMask, zawierają ten sam podatny na ataki kod, który umożliwia atakującym uzyskanie dostępu do konfiguracji tokenów w rozszerzeniach. Dotknięty kod pozbawiony jest odpowiednich uprawnień i weryfikacji jednorazowej w funkcji init.
Kod ten występuje w rozszerzeniach takich jak Box, Google Drive, One Drive i Dropbox, które zostały stworzone w celu ułatwienia procesów migracji danych przy wykorzystaniu wymienionych platform zewnętrznych.
Ujawniona luka bezpieczeństwa, oznaczona jako CVE-2023-40004, pozwala nieuwierzytelnionym użytkownikom uzyskać dostęp do konfiguracji tokenów w powiązanych z nimi rozszerzeniach oraz manipulować nimi. To z kolei otwiera drzwi atakującym do przechwycenia danych migracji witryny i przekierowania ich na własne konta w usługach chmurowych stron trzecich lub do przywracania złośliwych kopii zapasowych.
Główną konsekwencją skutecznego wykorzystania luki CVE-2023-40004 jest naruszenie danych, w tym potencjalnie informacji użytkowników, istotnych danych witryny i poufnych treści.
Warto jednak podkreślić, iż problem bezpieczeństwa jest częściowo ograniczony tym, iż migracja przy użyciu WP All-in-One występuje tylko podczas procesów przenoszenia witryny i zwykle nie jest aktywna w innych momentach.
Uszkodzoną lukę w kontroli dostępu wykrył badacz Patchstack, Rafie Muhammad, 18 lipca 2023 roku i poinformował o tym firmę ServMask w celu podjęcia działań naprawczych.
Dostawca udostępnił aktualizacje zabezpieczeń 26 lipca 2023 roku, wprowadzając weryfikację uprawnień i unikalnych wartości do funkcji init. Osobom korzystającym z dotkniętych problemem rozszerzeń innych firm zaleca się aktualizację do następujących ulepszonych wersji:
- Rozszerzenie Box: v1.54
- Rozszerzenie Google Drive: v2.80
- Rozszerzenie OneDrive: v1.67
- Rozszerzenie Dropbox: v3.76
Dodatkowo, zaleca się, aby użytkownicy korzystali z najnowszej wersji (darmowej) podstawowej wtyczki All-in-One WP Migration, tj. wersji v7.78.
Czym jest All in One WP Migration – wtyczka do migracji stron WordPress?
All in One WP Migration to narzędzie w postaci wtyczki, które pozwala na płynne przeniesienie planowanej strony z jednego serwera na inny. Dodatkowo, plugin posiada istotną cechę, umożliwiającą tworzenie kopii bezpieczeństwa. Dla osób prowadzących mniejsze witryny internetowe, poszukiwanie płatnych wtyczek do wykonywania kopii zapasowych nie jest koniecznością. Darmowa wersja podstawowa All in One WP Migration pozwala na stworzenie kopii zapasowej strony i zapisanie jej na lokalnym dysku komputera. To praktyczne rozwiązanie, a zarchiwizowaną kopię z dysku lokalnego (czyli komputera) można później przetransferować na dysk w chmurze, jak na przykład Google Drive czy Dropbox.