Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Wordpress: Cloud-Extensions für Migrationstool ermöglichen Datenklau

Die Box-, Google-Drive- , Onedrive- und Dropbox -Erweiterungen für ein weitverbreitetes Wordpress -Migrations-Plug-in sind anfällig für Datenklau.
/ Marc Stöckel
1 Kommentare News folgen (öffnet im neuen Fenster)
Eine Schwachstelle in vier Erweiterungen für ein millionenfach installiertes Wordpress-Plug-in ermöglicht Datendiebstahl. (Bild: pixabay.com/StockSnap)
Eine Schwachstelle in vier Erweiterungen für ein millionenfach installiertes Wordpress-Plug-in ermöglicht Datendiebstahl. Bild: pixabay.com/StockSnap

Sicherheitsforscher von Patchstack haben eine Sicherheitslücke in mehreren Erweiterungen für das weit verbreitete Wordpress-Plug-in All-in-One WP Migration des Entwicklers Servmask entdeckt. Diese ermögliche es nicht-authentifizierten Benutzern, die Access-Token-Konfigurationen der betroffenen Extensions zu manipulieren oder zu löschen, schreiben die Forscher in ihrem Bericht(öffnet im neuen Fenster) .

Dadurch könne ein Angreifer beispielsweise eine Datenmigration auf ein eigenes Konto durchführen, um sensible Informationen zu stehlen oder auf einem Zielsystem ein bösartiges Back-up einspielen, um das zugrunde liegende Wordpress-System zu manipulieren.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Betroffen sind laut dem Bericht insgesamt vier Erweiterungen für All-in-One WP Migration, die Administratoren eine Datenmigration auf andere Wordpress-Systeme über die Cloudspeicherdienste Box, Google Drive, Microsoft Onedrive und Dropbox ermöglichen.

Vier Erweiterungen für bekannte Cloudspeicherdienste

Alle vier Extensions enthalten den gleichen anfälligen Codeblock innerhalb einer Initialisierungsfunktion. Der Entwickler habe es dort versäumt, eine Berechtigungs- und Nonce-Prüfung vorzunehmen, so dass sich der von den Erweiterungen verwendete Zugriffstoken von unauthentifizierten Nutzern einfach ändern oder löschen lasse, heißt es weiter.

Die anfälligen Extensions sollen inzwischen gepatcht worden sein, so dass sich die als CVE-2023-40004 registrierte Sicherheitslücke mit den jeweils neusten Versionen der Erweiterungen nicht mehr ausnutzen lasse. Die Box-Erweiterung für All-in-One WP Migration sei folglich ab Version 1.54 vor einer Ausnutzung der Schwachstelle geschützt.

In Bezug auf die Google-Drive-Erweiterung gelte dies ab Version 2.80, für Onedrive ab Version 1.67 und für Dropbox ab Version 3.76. Administratoren wird empfohlen, die Extensions zeitnah auf den neuesten Stand zu bringen.

Anzeige

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Das Migrations-Plug-in ist millionenfach installiert

Bei All-in-One WP Migration handelt es sich um eines der beliebtesten Migrations-Plug-ins für Wordpress, das mehr als fünf Millionen Installationen verzeichnet(öffnet im neuen Fenster) . Es ermöglicht Webseitenadministratoren einen einfachen Umzug von bestehenden Wordpress-Instanzen inklusive damit verbundener Datenbanken, Medien, Plug-ins, Themes und weiterer Daten auf andere Server. Das Plug-in soll vor allem Anwender mit wenig technischem Wissen dabei helfen, die Daten ihrer Webseite auf ein neues System zu übertragen.

Zur Startseite 1 Kommentare

Relevante Themen

SecuritySicherheitslückeDatensicherheitServerOnedriveGoogle DriveCloud-StorageDropbox