5 milyon aktif kuruluma sahip WordPress siteleri için popüler bir veri taşıma eklentisi olan All-in-One WP Migration, saldırganların hassas site bilgilerine erişmesine izin verebilecek, kimliği doğrulanmamış erişim belirteci manipülasyonundan muzdariptir.
Hepsi Bir Arada WP Geçişi, teknik bilgisi olmayan ve deneyimsiz kullanıcılar için kullanıcı dostu bir WordPress site taşıma aracıdır; veritabanlarının, medyanın, eklentilerin ve temaların yeni bir hedefe geri yüklenmesi kolay tek bir arşive sorunsuz bir şekilde aktarılmasına olanak tanır.
Patchstack, eklenti satıcısı ServMask’in sunduğu çeşitli premium uzantıların hepsinin, init işlevinde izin ve tekrar doğrulama bulunmayan aynı güvenlik açığı kod parçasını içerdiğini bildiriyor.
Bu kod, söz konusu üçüncü taraf platformları kullanarak veri taşıma işlemlerini kolaylaştırmak amacıyla oluşturulan Box uzantısı, Google Drive uzantısı, One Drive uzantısı ve Dropbox uzantısında mevcuttur.
CVE-2023-40004 olarak takip edilen kusur, kimliği doğrulanmamış kullanıcıların etkilenen uzantılardaki token yapılandırmalarına erişmesine ve bunları değiştirmesine olanak tanıyarak potansiyel olarak saldırganların web sitesi geçiş verilerini kendi üçüncü taraf bulut hizmeti hesaplarına yönlendirmesine veya kötü amaçlı yedekleri geri yüklemesine olanak tanıyor.
CVE-2023-40004’ten başarıyla yararlanmanın birincil sonucu, kullanıcı ayrıntılarını, kritik web sitesi verilerini ve özel bilgileri içerebilecek bir veri ihlalidir.
Hepsi Bir Arada WP Geçişinin yalnızca site geçiş projeleri sırasında kullanılması ve normalde başka herhangi bir zamanda aktif olmaması gerektiği gerçeği nedeniyle güvenlik sorunu bir miktar hafifletilmiştir.
Bozuk erişim kontrolü kusuru, 18 Temmuz 2023’te PatchStack araştırmacısı Rafie Muhammad tarafından keşfedildi ve düzeltilmesi için ServMask’a bildirildi.
Satıcı, 26 Temmuz 2023’te, init işlevine izin ve tek seferlik doğrulama özelliği getiren güvenlik güncellemelerini yayınladı.
Etkilenen premium üçüncü taraf uzantıların kullanıcılarının aşağıdaki sabit sürümlere yükseltmeleri önerilir:
- Kutu Uzantısı: v1.54
- Google Drive Uzantısı: v2.80
- OneDrive Uzantısı: v1.67
- Dropbox Uzantısı: v3.76
Ayrıca kullanıcıların (ücretsiz) temel eklentinin en son sürümü olan All-in-One WP Migration v7.78’i kullanmaları önerilir.