Уязвимость в WordPress-плагине All-in-One WP Migration угрожает раскрытием информации - «Новости»

  • 10:30, 04-сен-2023
  • Новости / Текст / Вёрстка / Сайтостроение / Добавления стилей / Статьи об афоризмах
  • Campbell
  • 0

Уязвимость в нескольких расширениях плагина All-in-One WP Migration, который насчитывает более 5 млн установок, позволяет манипулировать токенами доступа без аутентификации. В результате злоумышленники могут получить доступ к конфиденциальной информации сайта.


All-in-One WP Migration — инструмент миграции, предназначенный для неопытных пользователей. Он позволяет владельцам WordPress-сайтов экспортировать базы данных, мультимедиа, плагины и темы в единый архив, который потом можно без труда развернуть на новом месте.


Специалисты компании Patchstack предупреждают об уязвимости, затрагивающей премиум-расширения Box, Google Drive, OneDrive и Dropbox, которые созданы для облегчения миграции данных с этих сторонних платформ.


Проблема получила идентификатор CVE-2023-40004 и позволяет манипулировать токенами доступа без аутентификации, то есть позволяет злоумышленнику, не прошедшему аутентификацию, изменять конфигурацию токена уязвимого расширения.


Уязвимость была обнаружена в функции init, которая подключена к хуку WordPress admin_init, который, в свою очередь, может быть запущен злоумышленником без аутентификации.


«Такие манипуляции с токенами доступа потенциально могут привести к раскрытию конфиденциальной информации, миграции в контролируемую злоумышленником стороннюю учетную запись или к восстановлению вредоносной резервной копии», — объясняют эксперты Patchstack.


То есть основным последствием эксплуатации CVE-2023-40004 может стать утечка данных, включающая данные пользователей, важные данные сайта и прочую конфиденциальную информацию.


В конце июля 2023 года разработчики выпустили обновленные версии плагина и расширений, в которых баг был исправлен. Теперь пользователям рекомендуется как можно скорее обновиться до Box 1.54, Google Drive 2.80, OneDrive 1.67 и Dropbox 3.76. Также рекомендуется использовать последнюю бесплатную версию базового плагина All-in-One WP Migration — 7.78.


Уязвимость в нескольких расширениях плагина All-in-One WP Migration, который насчитывает более 5 млн установок, позволяет манипулировать токенами доступа без аутентификации. В результате злоумышленники могут получить доступ к конфиденциальной информации сайта. All-in-One WP Migration — инструмент миграции, предназначенный для неопытных пользователей. Он позволяет владельцам WordPress-сайтов экспортировать базы данных, мультимедиа, плагины и темы в единый архив, который потом можно без труда развернуть на новом месте. Специалисты компании Patchstack предупреждают об уязвимости, затрагивающей премиум-расширения Box, Google Drive, OneDrive и Dropbox, которые созданы для облегчения миграции данных с этих сторонних платформ. Проблема получила идентификатор CVE-2023-40004 и позволяет манипулировать токенами доступа без аутентификации, то есть позволяет злоумышленнику, не прошедшему аутентификацию, изменять конфигурацию токена уязвимого расширения. Уязвимость была обнаружена в функции init, которая подключена к хуку WordPress admin_init, который, в свою очередь, может быть запущен злоумышленником без аутентификации. «Такие манипуляции с токенами доступа потенциально могут привести к раскрытию конфиденциальной информации, миграции в контролируемую злоумышленником стороннюю учетную запись или к восстановлению вредоносной резервной копии», — объясняют эксперты Patchstack. То есть основным последствием эксплуатации CVE-2023-40004 может стать утечка данных, включающая данные пользователей, важные данные сайта и прочую конфиденциальную информацию. В конце июля 2023 года разработчики выпустили обновленные версии плагина и расширений, в которых баг был исправлен. Теперь пользователям рекомендуется как можно скорее обновиться до Box 1.54, Google Drive 2.80, OneDrive 1.67 и Dropbox 3.76. Также рекомендуется использовать последнюю бесплатную версию базового плагина All-in-One WP Migration — 7.78.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!