Segundo a Patchstack, o All-in-One WP Migration, o Plugin de migração do WordPress pode levar a violações de dados, por causa de uma falha.
O All-in-One WP Migration é uma ferramenta de migração de sites WordPress com 5 milhões de instalações ativas.
Fácil de usar para usuários não técnicos e inexperientes, ele permite exportações contínuas de bancos de dados, mídia, plug-ins e temas em um único arquivo que é fácil de restaurar em um novo destino.
Agora, foi descoberto que o All-in-One WP Migration sofre manipulação de token de acesso não autenticado que pode permitir que invasores acessem informações confidenciais do site.
Plugin de migração do WordPress pode levar a violações de dados
A Patchstack relata que várias extensões premium que o fornecedor do plugin ServMask oferece contêm o mesmo trecho de código vulnerável que não possui permissão e validação de nonce na função init.
Este código está presente na extensão Box, extensão Google Drive, extensão One Drive e extensão Dropbox, que foram criadas para facilitar os procedimentos de migração de dados utilizando as referidas plataformas de terceiros.
A falha, rastreada como CVE-2023-40004, permite que usuários não autenticados acessem e manipulem configurações de token nas extensões afetadas, permitindo potencialmente que invasores desviem dados de migração de sites para suas próprias contas de serviços de nuvem de terceiros ou restaurem backups maliciosos.
A principal ramificação da exploração bem-sucedida do CVE-2023-40004 é uma violação de dados que pode incluir detalhes do usuário, dados críticos do site e informações proprietárias.
O problema de segurança é um pouco mitigado pelo fato de que a migração All-in-One WP é usada apenas durante projetos de migração de sites e normalmente não deve estar ativa em nenhum outro momento.
A falha quebrada de controle de acesso foi descoberta pelo pesquisador do PatchStack, Rafie Muhammad, em 18 de julho de 2023, e relatada ao ServMask para correção.
O fornecedor lançou atualizações de segurança em 26 de julho de 2023, introduzindo permissão e validação de nonce para a função init.
Os usuários das extensões premium de terceiros afetadas são aconselhados a atualizar para as seguintes versões corrigidas:
- Extensão do Box: v1.54
- Extensão do Google Drive: v2.80
- Extensão do OneDrive: v1.67
- Extensão do Dropbox: v3.76
Além disso, recomenda-se que os usuários usem a versão mais recente do plugin base (gratuito), All-in-One WP Migration v7.78.
