Uma vulnerabilidade em várias extensões do plug-in All-in-One WP Migration expõe potencialmente sites WordPress a ataques que levam à divulgação de informações confidenciais.

Com mais de cinco milhões de instalações e mantido pela ServMask, All-in-One WP Migration é um plugin altamente popular para movimentação de sites que também oferece diversas extensões premium para migração para plataformas de terceiros.

Na quarta-feira, a empresa de segurança WordPress Patchstack detalhes compartilhados em uma vulnerabilidade que afeta as extensões Box, Google Drive, OneDrive e Dropbox do All-in-One WP Migration que pode permitir que invasores acessem informações confidenciais.

Rastreado como CVE-2023-40004 e descrito como um problema de manipulação de token de acesso não autenticado, o bug pode permitir que um invasor não autenticado altere a configuração do token de acesso da extensão afetada.

“Essa manipulação do token de acesso pode resultar em uma possível divulgação de informações confidenciais de migração para a conta de terceiros controlada pelo invasor ou na restauração de um backup malicioso”, diz Patchstack.

A falha foi identificada no iniciar função das extensões afetadas, que está “ligada ao WordPress admin_init hook”, que por sua vez pode ser acionado por um invasor, sem autenticação.

“Como não há permissão e validação de nonce na função init, um usuário não autenticado pode modificar ou excluir o token de acesso usado em cada uma das extensões afetadas”, explica Patchstack.

Em 18 de julho, a empresa de segurança WordPress relatou a vulnerabilidade ao ServMask, que corrigiu o bug em todas as extensões afetadas “adicionando permissão e validação de nonce na função init”.

Os usuários são aconselhados a atualizar para a extensão Box do All-in-One WP Migration versão 1.54, extensão Google Drive versão 2.80, extensão OneDrive versão 1.67 e extensão Dropbox versão 3.76, que foram lançadas no final de julho.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.