Italy News Agency

Il plugin All-in-One WP Migration, un popolare plugin di WordPress utilizzato per le migrazioni dei siti web, semplifica il processo di trasferimento di contenuti del sito, database, media, plugin e temi da una posizione all'altra. Tuttavia, le indagini indicano che il plugin contiene una vulnerabilità di sicurezza critica che potrebbe mettere a repentaglio milioni di siti internet. Alev Akkoyunlu, Direttore Operativo di Laykon Bilişim, distributore di Bitdefender Antivirus in Turchia, avverte gli utenti che utilizzano questo plugin, affermando che può portare alla ridirezione dei dati di migrazione verso destinazioni controllate dagli attaccanti o al ripristino di backup maligni.

Il software di WordPress è spesso preferito per la creazione, la pubblicazione e la gestione di siti web e blog di tutte le dimensioni, grazie alle sue capacità. Tuttavia, i plugin utilizzati con WordPress spesso introducono vulnerabilità di sicurezza. È emerso che il plugin All-in-One WP Migration, tra questi plugin, presenta una significativa vulnerabilità di sicurezza che potrebbe mettere a repentaglio milioni di siti internet. Secondo le indagini, è stata scoperta una vulnerabilità di sicurezza identificata come CVE-2023-40004, che crea una base per l'accesso non autorizzato e la manipolazione di dati sensibili del sito internet. Gli attaccanti possono quindi accedere alle configurazioni del token e reindirizzare i dati a destinazioni sotto il loro controllo. Alev Akkoyunlu, Direttore Operativo di Laykon Bilişim, avverte gli utenti dei siti internet dei potenziali rischi, affermando: "Il plugin All-in-One WP Migration, che facilita il facile trasferimento dei siti web, può portare alla ridirezione dei dati di migrazione verso destinazioni controllate dagli attaccanti o al ripristino di backup maligni. Un attaccante che sfrutta questa vulnerabilità può ottenere accesso a database estesi, informazioni sugli utenti, dati privati e altri dati critici del sito internet".

La vulnerabilità di sicurezza si estende alle estensioni avanzate progettate per facilitare i trasferimenti tramite servizi di terze parti come Box, Google Drive, OneDrive e Dropbox, incorporando completamente il codice vulnerabile. La gravità di questa vulnerabilità di sicurezza è ulteriormente accentuata dalle circa 5 milioni di installazioni attive. Il plugin All-in-One WP Migration è generalmente attivo ed è spesso utilizzato durante i processi di migrazione dei siti web. Tuttavia, un elevato numero di installazioni attive aumenta significativamente la probabilità di una violazione della sicurezza.

Aggiornamenti Necessari per le Estensioni

Gli utenti che fanno affidamento sul plugin All-in-One WP Migration e sulle estensioni correlate dovrebbero aggiornare alle seguenti versioni corrette:

Estensione Box: v1.54

Estensione Google Drive: v2.80

Estensione OneDrive: v1.67

Estensione Dropbox: v3.76

All-in-One WP Migration: v7.78

Secondo Alev Akkoyunlu, Direttore Operativo di Laykon Bilişim, l'aggiornamento a queste versioni mitiga la vulnerabilità di sicurezza e protegge i siti web dagli attori maligni. L'aggiornamento alle ultime versioni del plugin All-in-One WP Migration e delle estensioni interessate non è solo una raccomandazione, ma un passo importante per mantenere l'integrità e la sicurezza dei siti web che utilizzano WordPress.