Ihr, als Nutzer des weitverbreiteten WordPress-Plug-ins All-in-One WP Migration, sollten über die jüngsten Entdeckungen von Sicherheitsforschern Bescheid wissen. Die Experten von Patchstack haben eine Sicherheitslücke in mehreren Erweiterungen dieses Plug-ins aufgedeckt, die von Servmask entwickelt wurden. Diese Lücke ermöglicht nicht authentifizierten Benutzern, die Access-Token-Konfigurationen der betroffenen Extensions zu manipulieren oder zu löschen, wie die Forscher in ihrem Bericht feststellen.
Die Auswirkungen dieser Schwachstelle sind ernst zu nehmen. Angreifer könnten beispielsweise eine Datenmigration auf ein eigenes Konto durchführen und auf diese Weise sensible Informationen stehlen. Ebenso könnten sie bösartige Back-ups auf Zielsystemen einspielen, um das dahinterliegende WordPress-System zu manipulieren.
Es handelt sich um insgesamt vier Erweiterungen für All-in-One WP Migration, die Administratoren dazu befähigen, Datenmigrationen zu anderen WordPress-Systemen über Cloudspeicherdienste wie Box, Google Drive, Microsoft Onedrive und Dropbox durchzuführen.
Ein kritischer Punkt ist, dass alle vier Extensions den gleichen anfälligen Codeblock innerhalb einer Initialisierungsfunktion enthalten. Der Entwickler hat es dort versäumt, eine Berechtigungs- und Nonce-Prüfung vorzunehmen. Dadurch wird der von den Erweiterungen genutzte Zugriffstoken für nicht authentifizierte Nutzer anfällig für Änderungen oder Löschungen.
Es gibt jedoch gute Nachrichten. Die anfälligen Extensions wurden mittlerweile gepatcht, sodass die Sicherheitslücke mit den neuesten Versionen nicht mehr ausgenutzt werden kann. So ist die Box-Erweiterung für All-in-One WP Migration ab Version 1.54 geschützt. In Bezug auf die Google Drive-Erweiterung gilt dies ab Version 2.80, für Onedrive ab Version 1.67 und für Dropbox ab Version 3.76. Es ist dringend empfohlen, die Erweiterungen auf die neuesten Versionen zu aktualisieren.
All-in-One WP Migration ist eines der meistgenutzten Migrations-Plug-ins für WordPress mit über fünf Millionen Installationen. Es erleichtert Webseitenadministratoren den Umzug von bestehenden WordPress-Instanzen samt Datenbanken, Medien, Plug-ins, Themes und weiteren Daten auf andere Server. Insbesondere Anwender mit begrenztem technischem Wissen profitieren von diesem Plug-in, da es ihnen hilft, die Daten ihrer Webseite problemlos auf ein neues System zu übertragen. Bleibt informiert und sorgt dafür, dass euer Plug-in auf dem neuesten Stand ist, um Sicherheitsrisiken zu minimieren.
Ich bin seit mehreren Jahren als leidenschaftlicher ITler unterwegs. Schreibe gerne über Windows und WordPress-Themen & Co. auf der Seite. Darüber hinaus bin ich seit 2008 als selbständiger SEO-Berater tätig. Also falls ihr Beratung in Sachen PC oder SEO braucht, gerne kontaktieren🙂
Wir hoffen, unsere Artikel konnten euch bei eurer Problemlösung helfen? Wenn ihr unsere Arbeit unterstützen möchtet, würden wir uns über eine kleine PayPal-Kaffeespende freuen. Vielen Dank!