All-in-One WP Migration, ein beliebtes Datenmigrations-Plugin für WordPress-Websites mit 5 Millionen aktiven Installationen, leidet unter einer nicht authentifizierten Zugriffs-Token-Manipulation, die Angreifern den Zugriff auf sensible Website-Informationen ermöglichen könnte.

All-in-One WP Migration ist ein benutzerfreundliches Tool zur WordPress-Website-Migration für nicht technische und unerfahrene Benutzer, das nahtlose Exporte von Datenbanken, Medien, Plugins und Themes in ein einzelnes Archiv ermöglicht, das einfach auf einem neuen Zielort wiederherzustellen ist.

Patchstack berichtet, dass verschiedene Premium-Erweiterungen, die der Anbieter ServMask des Plugins anbietet, alle denselben anfälligen Code-Schnipsel enthalten, der in der init-Funktion keine Berechtigungs- und Nonce-Validierung aufweist.

Dieser Code ist in der Box-Erweiterung, Google Drive-Erweiterung, OneDrive-Erweiterung und Dropbox-Erweiterung vorhanden, die zur Vereinfachung von Datentransferverfahren unter Verwendung dieser Drittanbieter-Plattformen erstellt wurden.

Die Schwachstelle, verfolgt als CVE-2023-40004, ermöglicht nicht authentifizierten Benutzern den Zugriff auf und die Manipulation von Token-Konfigurationen in den betroffenen Erweiterungen, was Angreifern potenziell ermöglicht, Website-Migrationsdaten auf ihre eigenen Drittanbieter-Cloud-Service-Konten umzuleiten oder bösartige Backups wiederherzustellen.

Die Hauptauswirkung der erfolgreichen Ausnutzung von CVE-2023-40004 ist ein Datenverstoß, der Benutzerdetails, wichtige Website-Daten und proprietäre Informationen umfassen könnte.

Das Sicherheitsproblem wird durch die Tatsache etwas gemildert, dass All-in-One WP Migration nur während Website-Migrationsprojekten verwendet wird und normalerweise zu keiner anderen Zeit aktiv sein sollte.

Die Schwachstelle im Zugriffsmanagement wurde von PatchStack-Forscher Rafie Muhammad am 18. Juli 2023 entdeckt und an ServMask zur Behebung gemeldet.

Der Anbieter veröffentlichte am 26. Juli 2023 Sicherheitsupdates, in denen Berechtigungs- und Nonce-Validierung in die init-Funktion eingeführt wurden.

Benutzern der betroffenen Premium-Drittanbieter-Erweiterungen wird empfohlen, auf die folgenden behobenen Versionen zu aktualisieren:

Box-Erweiterung: v1.54 Google Drive-Erweiterung: v2.80 OneDrive-Erweiterung: v1.67 Dropbox-Erweiterung: v3.76 Außerdem wird empfohlen, die neueste Version des (kostenlosen) Basistools zu verwenden, All-in-One WP Migration v7.78.