È stata scoperta una nuova falla di sicurezza nel plugin All-in-One WP Migration Extensions, ampiamente utilizzato, che potenzialmente lascia milioni di siti Web WordPress vulnerabili alla manipolazione dei token di accesso non autorizzati.
Il plug-in All-in-One WP Migration, uno strumento popolare per la migrazione senza problemi dei siti Web WordPress, vanta oltre 60 milioni di installazioni. Il plug-in offre estensioni premium, comprese quelle per l’integrazione di Box, Google Drive, OneDrive e Dropbox. Queste estensioni consentono agli utenti di migrare facilmente i contenuti su varie piattaforme di terze parti.
La vulnerabilità dipende dalla manipolazione dei token di accesso non autenticati. Gli hacker possono sfruttare questa falla per aggiornare o eliminare le configurazioni dei token di accesso per le estensioni interessate. Questo accesso non autorizzato può portare all’esposizione di informazioni sensibili durante la migrazione, garantendo potenzialmente agli aggressori l’accesso ad account di terze parti controllati o la possibilità di ripristinare backup dannosi.
Il codice vulnerabile è stato identificato dal team di ricerca sulla sicurezza di PatchStack, guidato da Rafie Muhammad, nella funzione init delle estensioni interessate. Il difetto deriva da un’autorizzazione insufficiente e da una convalida nonce, che consente agli utenti non autenticati di manipolare il token di accesso. La vulnerabilità può essere attivata tramite l’hook admin_init di WordPress.
PatchStack ha raccomandato agli sviluppatori di plugin e temi di prendere precauzioni implementando permessi e convalida nonce sulle funzioni collegate ad admin_init. Questa strategia di mitigazione può aiutare a prevenire l’accesso non autorizzato e la manipolazione delle informazioni sensibili.
PatchStack ha informato lo sviluppatore del plugin di questo difetto il 18 luglio. Successivamente, il 26 luglio sono state rilasciate versioni patchate per risolvere il problema. Le versioni con patch per ciascuna delle estensioni interessate sono le seguenti:
- Estensione WP Migration Box tutto in uno: versione 1.54
- Estensione Google Drive per la migrazione WP all-in-one: versione 2.80
- Estensione OneDrive per la migrazione WP all-in-one: versione 1.67
- Estensione Dropbox per la migrazione WP tutto in uno: versione 3.76
Alla luce di questa mancanza di sicurezza, gli utenti di All-in-One WP Migration Extensions sono invitati ad aggiornare immediatamente i propri plugin alle versioni con patch menzionate nell’avviso di sicurezza.