WordPress 迁移插件存在漏洞,或引发大规模数据泄露
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
据Bleeping Computer网站披露,All-in-One WP Migration存在未经身份验证的访问令牌操作漏洞,攻击者可借此访问网站敏感数据。漏洞被追踪为CVE-2023-40004,供应商已发布漏洞安全更新。
🎯
关键要点
- All-in-One WP Migration 插件存在未经身份验证的访问令牌操作漏洞,攻击者可访问敏感数据。
- 漏洞被追踪为 CVE-2023-40004,允许攻击者操纵令牌配置,导致数据泄露。
- 该插件适用于非技术用户,允许无缝导出网站数据。
- 多个高级扩展包含相同的易受攻击代码,缺乏权限和 nonce 验证。
- 漏洞的影响在于插件通常只在网站迁移时激活,降低了安全风险。
- 供应商 ServMask 已于 2023 年 7 月 18 日发布安全更新,修复了漏洞。
- 研究人员建议用户升级到修复版本的第三方扩展和基础插件。
➡️
