The All-in-One WP Migration Unlimited Extension plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 2.83. This is due to the 'Ai1wmve_Schedules_Controller::save' handler for 'admin_post_ai1wm_schedule_event_save' not verifying user capabilities before saving schedule data. This makes it possible for authenticated attackers, with subscriber-level access and above, to create scheduled export jobs and send backup notifications to attacker-controlled email addresses. Because such notifications include the random backup filename, full site backups can subsequently be downloaded from the target site, resulting in sensitive information exposure.
The All-in-One WP Migration Unlimited Extension plugin for WordPress versions up to 2.83 contains a missing authorization vulnerability allowing authenticated subscribers to create scheduled backups and redirect notifications to attacker-controlled emails. This enables unauthorized access to sensitive site data through backup file downloads.
يفتقد ملحق All-in-One WP Migration Unlimited للتحقق من صلاحيات المستخدم في معالج حفظ الأحداث المجدولة (admin_post_ai1wm_schedule_event_save)، مما يسمح للمستخدمين المصرح لهم على مستوى المشترك بإنشاء وظائف تصدير مجدولة. يمكن للمهاجمين استخدام هذه الثغرة لإعادة توجيه إخطارات النسخ الاحتياطية إلى عناوين بريد خاصة بهم والوصول إلى ملفات النسخ الاحتياطية الكاملة للموقع.
ملحق All-in-One WP Migration Unlimited لـ WordPress في الإصدارات حتى 2.83 يحتوي على ثغرة تفويض مفقودة تسمح للمشتركين المصرح لهم بإنشاء نسخ احتياطية مجدولة وإعادة توجيه الإخطارات إلى عناوين بريد يتحكم بها المهاجم. يمكّن هذا من الوصول غير المصرح به إلى بيانات الموقع الحساسة من خلال تنزيلات ملفات النسخ الاحتياطية.
Update the All-in-One WP Migration Unlimited Extension plugin to version 2.84 or later immediately. Verify user capabilities before allowing schedule creation and backup operations. Implement proper role-based access controls to restrict backup functionality to administrator-level users only. Monitor backup notifications for suspicious email addresses.
قم بتحديث ملحق All-in-One WP Migration Unlimited إلى الإصدار 2.84 أو أحدث على الفور. تحقق من قدرات المستخدم قبل السماح بإنشاء الجداول والعمليات الاحتياطية. قم بتنفيذ عناصر تحكم في الوصول المستندة إلى الأدوار بشكل صحيح لتقييد وظيفة النسخ الاحتياطية لمستخدمي المسؤول فقط. راقب إخطارات النسخ الاحتياطية للعناوين البريدية المريبة.