Il plugin WordPress AIOS affronta reazioni negative per la memorizzazione delle password degli utenti in testo normale
All-In-One Security (AIOS), un plugin WordPress installato su oltre un milione di siti, ha rilasciato un aggiornamento di sicurezza dopo che un bug introdotto nella versione 5.1.9 del software causava l’aggiunta delle password degli utenti al database in formato testo normale.
“Un amministratore del sito malintenzionato (ovvero un utente che ha già effettuato l’accesso al sito come amministratore) potrebbe quindi averli letti,” UpdraftPlus, i manutentori di AIOS, disse.
“Questo sarebbe un problema se gli amministratori dei siti provassero quelle password su altri servizi in cui i tuoi utenti potrebbero aver utilizzato la stessa password. Se gli accessi a questi altri servizi non sono protetti dall’autenticazione a due fattori, questo potrebbe essere un rischio per il sito web interessato.”
Il problema è emerso quasi tre settimane fa quando un utente del plugin riportato il comportamento, affermando che erano “assolutamente scioccati dal fatto che un plug-in di sicurezza stia commettendo un errore di sicurezza 101 così basilare”.
Sconfiggi le minacce basate sull’intelligenza artificiale con Zero Trust: webinar per professionisti della sicurezza
Le misure di sicurezza tradizionali non bastano nel mondo di oggi. È il momento della sicurezza Zero Trust. Proteggi i tuoi dati come mai prima d’ora.
AIOS ha inoltre osservato che gli aggiornamenti rimuovono i dati registrati esistenti dal database, ma ha sottolineato che per uno sfruttamento efficace è necessario che l’autore della minaccia abbia già compromesso un sito WordPress con altri mezzi e disponga di privilegi amministrativi o abbia ottenuto l’accesso non autorizzato ai backup non crittografati del sito.
“In quanto tale, le opportunità per qualcuno di ottenere privilegi che non aveva già sono limitate”, ha affermato la società. “La versione con patch impedisce la registrazione delle password e cancella tutte le password salvate in precedenza.”
A titolo precauzionale, si consiglia agli utenti di abilitare l’autenticazione a due fattori su WordPress e di modificare le password, in particolare se le stesse combinazioni di credenziali sono state utilizzate su altri siti.
La divulgazione arriva quando Wordfence ha rivelato un difetto critico che ha un impatto su WPEverest Registrazione Utente plugin (CVE-2023-3342, punteggio CVSS: 9,9) che ha oltre 60.000 installazioni attive. La vulnerabilità è stata risolta nella versione 3.0.2.1.
“Questa vulnerabilità consente a un utente malintenzionato autenticato con autorizzazioni minime, come un abbonato, di caricare file arbitrari, inclusi file PHP, e ottenere l’esecuzione di codice remoto sul server di un sito vulnerabile”, ha spiegato il ricercatore di Wordfence István Márton. disse.