WordPress 마이그레이션 추가

500만 건의 활성 설치를 보유한 WordPress 사이트용 인기 데이터 마이그레이션 플러그인인 All-in-One WP Migration은 공격자가 민감한 사이트 정보에 액세스할 수 있도록 허용하는 인증되지 않은 액세스 토큰 조작으로 인해 어려움을 겪고 있습니다.

올인원 WP 마이그레이션은 기술 지식이 없고 경험이 없는 사용자를 위한 사용자 친화적인 WordPress 사이트 마이그레이션 도구로, 데이터베이스, 미디어, 플러그인 및 테마를 새로운 대상에서 쉽게 복원할 수 있는 단일 아카이브로 원활하게 내보낼 수 있습니다.

Patchstack은 플러그인 공급업체 ServMask가 제공하는 다양한 프리미엄 확장에 모두 init 함수에서 권한 및 nonce 유효성 검사가 부족한 동일한 취약한 코드 조각이 포함되어 있다고 보고합니다.

이 코드는 해당 타사 플랫폼을 사용하여 데이터 마이그레이션 절차를 용이하게 하기 위해 생성된 Box 확장, Google Drive 확장, One Drive 확장 및 Dropbox 확장에 있습니다.

CVE-2023-40004로 추적되는 이 결함은 인증되지 않은 사용자가 영향을 받는 확장 프로그램의 토큰 구성에 액세스하고 조작할 수 있도록 허용하여 잠재적으로 공격자가 웹사이트 마이그레이션 데이터를 자신의 타사 클라우드 서비스 계정으로 전환하거나 악의적인 백업을 복원할 수 있도록 허용합니다.

CVE-2023-40004를 성공적으로 악용할 경우 발생하는 주요 결과는 사용자 세부 정보, 중요한 웹 사이트 데이터 및 독점 정보를 포함할 수 있는 데이터 침해입니다.

올인원 WP 마이그레이션은 사이트 마이그레이션 프로젝트 중에만 사용되며 일반적으로 다른 시간에는 활성화되지 않아야 한다는 사실로 인해 보안 문제가 다소 완화됩니다.

손상된 액세스 제어 결함은 2023년 7월 18일 PatchStack의 연구원 Rafie Muhammad가 발견했으며 수정을 위해 ServMask에 보고되었습니다.

공급업체는 2023년 7월 26일에 보안 업데이트를 출시하여 init 함수에 권한 및 nonce 검증을 도입했습니다.

영향을 받는 프리미엄 타사 확장 프로그램 사용자는 다음 수정 버전으로 업그레이드하는 것이 좋습니다.

또한, 사용자는 최신 버전의 (무료) 기본 플러그인인 All-in-One WP Migration v7.78을 사용하는 것이 좋습니다.

Jupiter X Core WordPress 플러그인으로 인해 해커가 사이트를 하이재킹할 수 있음

WordPress Ninja Forms 플러그인 결함으로 해커가 제출된 데이터를 훔칠 수 있음

제로데이 결함을 이용해 노르웨이 정부 IT 시스템 해킹

중요한 WordPress WooCommerce 결제 버그를 악용하는 해커

100만 개 사이트에서 사용되는 WordPress AIOS 플러그인은 일반 텍스트 비밀번호를 기록했습니다.