WordPress 插件漏洞可能导致数据泄露

关键要点

• 漏洞信息 ：众所周知的 WordPress 数据迁移插件 All-in-One WP Migration 存在漏洞（CVE-2023-40004），黑客可能利用此漏洞进行数据泄露。
• 影响范围 ：该漏洞影响多个扩展，包括 Google Drive、Box、OneDrive 和 Dropbox，使恶意行为者能够转移网站迁移数据到其云服务。
• 解决方案 ：用户被建议立即安装更新版插件 All-in-One WP Migration v7.78，以及其他相关扩展的最新版本。

根据

的报道，威胁行为者可以利用已经修复的漏洞，进而引发数据泄露。漏洞的利用涉及到名为 CVE-2023-40004的访问控制缺失问题，该漏洞可能允许修改多种扩展的令牌配置，其中包括 Google Drive、Box、OneDrive 和 Dropbox等服务。这使得攻击者能够将网站迁移的数据劫持到他们的第三方云服务中，并进行恶意备份恢复。

Patchstack的报告指出，恶意行为者可以进一步发起数据泄露，导致网站数据、用户信息以及专有信息的泄露。研究人员指出，只有在网站迁移过程中使用该插件，才减轻了这一漏洞的影响。为了解决这一问题，建议用户立即安装包含修复的插件最新版本
All-in-One WP Migration v7.78。此外，受到影响的用户也被建议升级其第三方扩展，具体版本如下：

扩展名称 | 版本
—|—
Google Drive Extension | v2.80
Box Extension | v1.54
OneDrive Extension | v1.67
Dropbox Extension | v3.76

为了保护自己的网站，用户务必要保持插件和相关扩展的最新版本，确保不受潜在攻击的影响。