Дыра в All-in-One WP Migration грозит утечкой с Google.Диска и Dropbox

Татьяна Никитина 01 Сентября 2023 - 15:26

...

Дыра в All-in-One WP Migration грозит утечкой с Google.Диска и Dropbox

В WordPress-плагине, облегчающем смену хостинга сайтов, найдена уязвимость, позволяющая получить несанкционированный доступ к конфиденциальной информации. Проблема затрагивает расширения для Box, Google.Диск, OneDrive и Dropbox; патчи уже доступны.

Плагин All-in-One WP Migration разработки ServMask в настоящее время насчитывает более 5 млн активных установок. Софт имеет премиум-расширения для переноса базы данных сайта, медиафайлов, плагинов и тем на платформы таких облачных провайдеров, как Google, Microsoft или Amazon.

Уязвимости, выявленной исследователем из Patchstack, подвержены лишь четыре подобных модификации плагина, бесплатную версию она не затрагивает. Эксплойт CVE-2023-40004 не требует аутентификации и позволяет изменить или удалить токен доступа для получения критически важных данных сайта, сведений о пользователях, проприетарной информации.

По словам автора находки, причиной появления уязвимости стало отсутствие ограничений на выполнение функции init, привязанной к WordPress-хуку admin_init. Степень угрозы смягчает тот факт, что All-in-One WP Migration используется лишь при переносе сайта, в остальное время он неактивен.

Патчи для всех затронутых продуктов были выпущены в конце июля. Пользователям популярного WordPress-плагина рекомендуется установить следующие обновления:

Box Extension v1.54,
Google Drive Extension v2.80,
OneDrive Extension v1.67,
Dropbox Extension v3.76.

Бесплатный All-in-One WP Migration лучше тоже обновить до версии 7.78.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Арестовано руководство ФКУ Налог-сервис

Яков Шпунт 29 Апреля 2025 - 12:44

Мошенничество Соответствие законодательству РФ Корпорации Государство

Басманный суд Москвы арестовал генерального директора ФКУ «Налог-сервис» Романа Филимошина и его заместителя Дмитрия Шалаева. Их подозревают в получении крупной взятки.

ФКУ «Налог-сервис» является инсорсинговой структурой Федеральной налоговой службы. Организация отвечает за информационное обеспечение работы ФНС и её территориальных подразделений, печать и рассылку налоговых уведомлений, обработку отчетности и бухгалтерских документов, функционирование контакт-центров, а также за архивное хранение документов.

Среди крупнейших поставщиков ФКУ «Налог-сервис», как сообщает «Коммерсантъ», числятся крупные ИТ-компании, включая «Рубитех» и «Системный софт». По данным издания, в 2020–2024 годах организация закупила ИТ-оборудование на сумму около 70 млрд рублей.

Источники «Коммерсанта» утверждают, что руководство ФКУ «Налог-сервис» получало взятки от поставщиков в обмен на продолжение сотрудничества. Оба фигуранта занимают свои должности с 2013 года.

Судья Басманного суда Евгения Николаева, как отмечает «Коммерсантъ», рассмотрела ходатайства следствия об аресте Филимошина и Шалаева с разницей в несколько минут и не нашла оснований для отказа в избрании меры пресечения.

Отметим, что 28 апреля Хамовнический суд Москвы приговорил бывшего замглавы Минцифры Максима Паршина к 9 годам лишения свободы за получение взятки. Взяткодатель Александр Моносов по тому же делу получил 8,5 лет колонии.