Підписуйтеся на наш телеграм канал!

Плагін WordPress, встановлений на понад 1 мільйоні сайтів, зберігав паролі користувачів у відкритому доступі

5:36 pm, 14 Липня, 2023

Популярний плагін безпеки All-In-One Security (AIOS), призначений для понад мільйона сайтів під управлінням WordPress, декілька тижнів реєстрував паролі користувачів у відкритому вигляді і зберігав їх у базі, доступній адміністраторам сайтів. Для усунення цієї проблеми розробники випустили відповідний патч (виправлення, призначене для автоматизованого внесення певних змін в комп’ютерні файли).

AIOS фіксує паролі користувачів у процесі їхньої авторизації. За словами розробників, запис паролів до журналу у відкритому вигляді відбувався через програмну помилку, якої припустилися у коді AIOS 5.1.9, випущеному у травні цього року. Цього ж тижня розробники випустили версію AIOS 5.2.0 і запевнили — після його встановлення проблему із записом паролів буде розв’язано, а додану раніше в базу інформацію остаточно видалять.

Представник розробників AIOS підтвердив, що «для отримання будь-якої зловмисної вигоди з цього багу потрібно увійти в систему з адміністративними привілеями вищого рівня». Однак фахівці з інформаційної безпеки давно радять адміністраторам сайтів не зберігати паролі у відкритому вигляді. Це пов’язано з тим, що хакери відносно легко зламують сайти на WordPress і викрадають дані, що зберігаються у базах. У цьому контексті запис паролів у базу даних, незалежно від того, хто має до неї доступ, є суттєвим порушенням правил безпеки — вони повинні хешуватися, що дозволяє підвищити безпеку зберігання паролів.

Плагін AIOS відкрито фіксував паролі користувачів щонайменше три тижні. Разом із випуском нової версії плагіну розробники вибачилися перед користувачами за допущену помилку і рекомендували якнайшвидше оновити AIOS до версії 5.2.0.

Раніше ми розповідали про дослідників компанії Patchstack, які виявили вразливість у плагіні Advanced Custom Fields (ACF) для WordPress — це дає змогу провести XSS-атаку. Проблема дозволяє неаутентифікованому зловмиснику вкрасти конфіденційну інформацію і підвищити привілеї на сайті WordPress, обманом змусивши привілейованого користувача відвідати створену URL-адресу.

Підписуйтеся на наш телеграм канал!

BTC

$61,197.63

7.78%

ETH

$3,349.58

4.28%

BNB

$411.62

4.87%

XRP

$0.57

-0.60%

SOL

$110.80

3.92%

Всі курси
Підписуйтеся на наш
телеграм канал!
Свіжі новини та огляди
ринків криптовалют останньої
доби прямо у вашому мессенджері. Чекаємо на вас!
ПЕРЕЙТИ
Показати більше