All-in-One WP Migration, un plugin de migration de données populaire pour les sites WordPress avec 5 millions d’installations actives, souffre d’une manipulation de jeton d’accès non authentifié qui pourrait permettre aux attaquants d’accéder aux informations sensibles du site.
All-in-One WP Migration est un outil de migration de site WordPress convivial destiné aux utilisateurs non techniques et inexpérimentés, permettant des exportations transparentes de bases de données, de médias, de plugins et de thèmes dans une archive unique facile à restaurer sur une nouvelle destination.
Patchstack rapporte que diverses extensions premium proposées par le fournisseur du plugin, ServMask, contiennent toutes le même extrait de code vulnérable qui manque d’autorisation et de validation occasionnelle dans la fonction init.
Ce code est présent dans l’extension Box, l’extension Google Drive, l’extension One Drive et l’extension Dropbox, qui ont été créées pour faciliter les procédures de migration de données à l’aide desdites plateformes tierces.
La faille, identifiée comme CVE-2023-40004, permet à des utilisateurs non authentifiés d’accéder et de manipuler les configurations de jetons sur les extensions concernées, permettant potentiellement aux attaquants de détourner les données de migration de sites Web vers leurs propres comptes de services cloud tiers ou de restaurer des sauvegardes malveillantes.
La principale conséquence d’une exploitation réussie du CVE-2023-40004 est une violation de données pouvant inclure des informations sur les utilisateurs, des données critiques de sites Web et des informations exclusives.
Le problème de sécurité est quelque peu atténué par le fait que All-in-One WP Migration n’est utilisé que lors des projets de migration de site et ne devrait normalement pas être actif à tout autre moment.
La faille de contrôle d’accès cassée a été découverte par le chercheur de PatchStack, Rafie Muhammad, le 18 juillet 2023, et signalée à ServMask pour correction.
Le fournisseur a publié des mises à jour de sécurité le 26 juillet 2023, introduisant l’autorisation et la validation occasionnelle de la fonction init.
Il est conseillé aux utilisateurs des extensions tierces premium concernées de passer aux versions fixes suivantes :
- Extension de la boîte : v1.54
- Extension Google Drive : v2.80
- Extension OneDrive : v1.67
- Extension Dropbox : v3.76
Il est également recommandé aux utilisateurs d’utiliser la dernière version du plugin de base (gratuit), All-in-One WP Migration v7.78.