1 Click WordPress Migration Plugin – 100% FREE for a limited time <= 2.2 - Unauthenticated Sensitive Information Exposure via Database Backup in class-ocm-backup.php

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin '1 Click WordPress Migration'. Esta falla permite la exposición no autenticada de información sensible a través de copias de seguridad de la base de datos.

Contexto técnico

La vulnerabilidad se encuentra en el archivo class-ocm-backup.php del plugin, donde no se implementan adecuadamente las verificaciones de autenticación. Esto permite a un atacante acceder a datos sensibles sin necesidad de credenciales.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de la información sensible almacenada en la base de datos, lo que podría resultar en la pérdida de datos, violaciones de privacidad y daños a la reputación de la organización.

Vector de explotación

Los atacantes pueden acceder a la funcionalidad de copia de seguridad del plugin sin autenticación, lo que les permite descargar archivos de respaldo que contienen información crítica.

Mitigación recomendada

Actualizar el plugin '1 Click WordPress Migration' a la versión 2.3 o superior. Además, se recomienda revisar las configuraciones de seguridad y restringir el acceso a las funciones de copia de seguridad.

Señales de detección

Señales de riesgo incluyen solicitudes inusuales a class-ocm-backup.php y descargas de archivos de respaldo sin autenticación previa.

Alcance afectado

Las versiones del plugin anteriores a la 2.3 son vulnerables. Se recomienda a los usuarios que verifiquen sus instalaciones para asegurar que están utilizando la versión corregida.