Espaniol News Agency

El plugin All-in-One WP Migration, un popular plugin de WordPress utilizado para las migraciones de sitios web, simplifica el proceso de transferencia de contenido del sitio, bases de datos, medios, complementos y temas de un lugar a otro. Sin embargo, los hallazgos indican que el plugin contiene una vulnerabilidad de seguridad crítica que podría poner en peligro a millones de sitios web. Alev Akkoyunlu, Director de Operaciones de Laykon Bilişim, el distribuidor de Bitdefender Antivirus en Turquía, advierte a los usuarios que utilizan este plugin, afirmando que puede llevar a la redirección de los datos de migración a destinos controlados por atacantes o la restauración de copias de seguridad maliciosas.

El software de WordPress a menudo se prefiere para la creación, publicación y mantenimiento de sitios web y blogs de todos los tamaños debido a sus capacidades. Sin embargo, los complementos utilizados con WordPress a menudo introducen vulnerabilidades de seguridad. Se ha descubierto que el plugin All-in-One WP Migration, entre estos complementos, tiene una vulnerabilidad de seguridad significativa que podría poner en peligro a millones de sitios web. Según los hallazgos, se ha descubierto una vulnerabilidad de seguridad rastreada como CVE-2023-40004, que crea una base para el acceso no autorizado y la manipulación de datos sensibles del sitio web. Los atacantes pueden, por lo tanto, acceder a las configuraciones de token y redirigir datos a objetivos bajo su control. Alev Akkoyunlu, Director de Operaciones de Laykon Bilişim, advierte a los usuarios de sitios web sobre los posibles riesgos, afirmando: "El plugin All-in-One WP Migration, que facilita la transferencia fácil de sitios web, puede llevar a la redirección de datos de migración a destinos controlados por atacantes o la restauración de copias de seguridad maliciosas. Un atacante que aproveche esta vulnerabilidad puede obtener acceso a bases de datos extensas, información de usuario, datos privados y otros datos críticos del sitio web".

La vulnerabilidad de seguridad se extiende a extensiones avanzadas diseñadas para facilitar transferencias a través de servicios de terceros como Box, Google Drive, OneDrive y Dropbox, incorporando completamente el código vulnerable. La gravedad de esta vulnerabilidad de seguridad se ve aún más agravada por las aproximadamente 5 millones de instalaciones activas. El plugin All-in-One WP Migration generalmente se ejecuta activamente y a menudo se utiliza durante los procesos de migración de sitios web. Sin embargo, un alto número de instalaciones activas aumenta significativamente la probabilidad de una brecha de seguridad.

Actualizaciones Necesarias para las Extensiones

Los usuarios que dependen del plugin All-in-One WP Migration y las extensiones relacionadas deben actualizar a las siguientes versiones parcheadas:

Extensión Box: v1.54

Extensión Google Drive: v2.80

Extensión OneDrive: v1.67

Extensión Dropbox: v3.76

All-in-One WP Migration: v7.78

Según Alev Akkoyunlu, Director de Operaciones de Laykon Bilişim, actualizar a estas versiones mitiga la vulnerabilidad de seguridad y protege los sitios web contra actores maliciosos. Actualizar a las últimas versiones del plugin All-in-One WP Migration y las extensiones afectadas no es solo una recomendación, sino un paso importante para mantener la integridad y seguridad de los sitios web que utilizan WordPress.