漏洞暴露WP迁移插件黑客

在广泛使用的All-in-One WP迁移扩展插件中发现了一个新的安全漏洞，可能会使数百万WordPress网站容易受到未经授权的访问令牌操纵。

All-in-One WP迁移插件，一个流行的无缝迁移WordPress网站的工具，拥有超过6000万的安装量。该插件提供高级扩展，包括Box, Google Drive, OneDrive和Dropbox集成。这些扩展使用户能够轻松地将内容迁移到各种第三方平台。

该漏洞依赖于未经身份验证的访问令牌操作。黑客可以利用此漏洞更新或删除受影响扩展的访问令牌配置。这种未经授权的访问可能导致在迁移期间暴露敏感信息，可能使攻击者能够访问受控制的第三方帐户或恢复恶意备份。

由Rafie Muhammad领导的PatchStack安全研究团队在受影响扩展的init函数中发现了易受攻击的代码。该缺陷源于权限以及nonce验证不足，这允许未经身份验证的用户操纵访问令牌。该漏洞可以通过WordPress admin_init挂钩触发。

PatchStack建议插件和主题开发人员采取预防措施，对连接到admin_init的函数实施权限和nonce验证。这种缓解策略有助于防止未经授权的访问和对敏感信息的操纵。

PatchStack在7月18日通知了插件开发者这个漏洞。随后，7月26日发布了补丁版本来解决这个问题。并敦促All-in-One WP Migration Extensions用户立即将其插件更新到安全通知中提到的修补版本。