Af Eskil Sørensen, 01/09/23
Der er opdaget en sårbarhed i et datamigreringsplugin til WordPress-websteder. Pluginet hedder All-in-One WP Migration og har 5 millioner aktive installationer. Det et værktøj til ikke-tekniske og uerfarne brugere, der anvendes til migrering af WordPress-websteder, der tillader eksport af databaser, medier, plugins og temaer til et enkelt arkiv.
Det er sikkerhedsfirmaet Patchstack, der rapporterer, at forskellige premium-udvidelser, som plugin-leverandøren ServMask tilbyder, alle indeholder det samme uddrag af sårbar kode. Koden findes i Box-udvidelsen, Google Drive-udvidelsen, One Drive-udvidelsen og Dropbox-udvidelsen. Udvidelse af plugin’et til disse drev er blevet oprettet for at lette datamigreringen til de nævnte ’drev’.
Fejlen har id’et CVE-2023-40004, og den giver uautoriserede brugere mulighed for at få adgang til og manipulere token-konfigurationer på de berørte udvidelser. Det kan give angribere mulighed for at omdirigere migreringsdata fra et websted til deres egne tredjeparts konti i skyen eller gendanne ondsindede sikkerhedskopier.
Bleeping Computer skriver, at sikkerhedsproblemet afbødes til en hvis grad af, at All-in-One WP Migration kun bruges ifm migreringsprojekter og derfor forventeligt ikke er aktiv på noget andet tidspunkt. CVSS-scoren er da heller ikke så, nemlig 5,1 ifølge Vuldb, der også prissætter den aktuelle udnyttelsespris til at være op til 5000 dollar.
Der er udgivet sikkerhedsopdatering den 26. juli.
Brugere af de berørte tredjepartsudvidelser rådes til at opgradere til følgende faste versioner:
- Box Extension: v1.54
- Google Drev-udvidelse: v2.80
- OneDrive-udvidelse: v1.67
- Dropbox-udvidelse: v3.76
Brugere anbefales også at bruge den seneste version af det gratis basisplugin, All-in-One WP Migration v7.78.