“All-in-One WP Migration”, un popolare plugin di migrazione dati per siti WordPress con 5 milioni di installazioni attive, presenta una vulnerabilità legata alla manipolazione di token di accesso non autenticati. Questa vulnerabilità potrebbe permettere agli aggressori di accedere a informazioni sensibili del sito.
Dettagli sul plugin
All-in-One WP Migration è uno strumento di migrazione di siti WordPress user-friendly, ideale per utenti non tecnici e inesperti. Consente esportazioni senza problemi di database, media, plugin e temi in un unico archivio, facile da ripristinare su una nuova destinazione.
La vulnerabilità
Patchstack ha segnalato che varie estensioni premium offerte dal fornitore del plugin, ServMask, contengono tutte lo stesso frammento di codice vulnerabile. Questo codice manca di validazione dei permessi e nonce nella funzione init. Questo codice è presente nelle estensioni Box, Google Drive, One Drive e Dropbox, create per facilitare le procedure di migrazione dei dati utilizzando le suddette piattaforme di terze parti.
La falla, identificata come CVE-2023-40004, permette agli utenti non autenticati di accedere e manipolare le configurazioni dei token sulle estensioni interessate. Ciò potrebbe consentire agli aggressori di dirottare i dati di migrazione del sito web sui propri account di servizi cloud di terze parti o di ripristinare backup malevoli.
La principale conseguenza di un’efficace sfruttamento del CVE-2023-40004 è una violazione dei dati che potrebbe includere dettagli degli utenti, dati critici del sito web e informazioni proprietarie.
Misure di sicurezza
La problematica di sicurezza è in parte mitigata dal fatto che All-in-One WP Migration viene utilizzato solo durante i progetti di migrazione del sito e normalmente non dovrebbe essere attivo in altri momenti.
La vulnerabilità è stata scoperta dal ricercatore di PatchStack, Rafie Muhammad, il 18 luglio 2023 e segnalata a ServMask per la correzione. Il fornitore ha rilasciato aggiornamenti di sicurezza il 26 luglio 2023, introducendo la validazione dei permessi e nonce alla funzione init.
Si consiglia agli utenti delle estensioni premium di terze parti interessate di aggiornare alle seguenti versioni corrette:
- Box Extension: v1.54
- Google Drive Extension: v2.80
- OneDrive Extension: v1.67
- Dropbox Extension: v3.76
Inoltre, si raccomanda agli utenti di utilizzare l’ultima versione del plugin base (gratuito), All-in-One WP Migration v7.78.