All-In-One Security – проблем със защитата
Плъгинът All-In-One Security за WordPress съхранява паролите на потребителите в обикновен текстови файл
All-In-One Security (AIOS), популярен плъгин за WordPress, използван в повече от над милион уебсайта, е подложен на критика, заради недостатък в сигурността, довел до съхраняването на потребителски пароли в обикновен текстови файл. Поддържащите плъгина, UpdraftPlus, пуснаха актуализация на сигурността, за да отстранят проблема.
Въпреки че недостатъкът потенциално може да позволи на злонамерен администратор на сайт да получи достъп до паролите и да злоупотреби с тях, All-In-One Security заявява, че успешното използване би изискало да има вече компрометиран WordPress сайт или неоторизиран достъп до некриптирани резервни копия на информацията.
Като предпазна мярка на потребителите се препоръчва да активират двустепенно удостоверяване и да сменят паролите си, особено ако същите данни се използват в други уебсайтове. В отделно разкритие, Wordfence е идентифицирала критична уязвимост в плъгина User Registration от WPEverest, която засяга над 60 000 активни инсталации на плъгина. Този недостатъг е отстранена във версия 3.0.2.1.
Грешката, въведена във версия 5.1.9 на All-In-One Security, позволяваше паролите да се добавят в базата данни без криптиране, което потенциално позволяваше на администратор на уебсайт с негативни намерения, който вече е успял да влезе в сайта, да види тези пароли. Тази уязвимост става особено опасна, ако компрометираните пароли се използват повторно в други услуги, в които липсва двуфакторна идентификация.
Първоначално проблемът бе подложен на дискусия преди около три седмици от потребител на плъгина, който изрази съмненията си как плъгин за сигурност на уебсайта всъщност може да компрометира данните на милиони потребители, заради пропуск в защитата.
All-In-One Security признава, че актуализацията не само отстранява проблема, но и премахва всички съществуващи данни за регистрирани пароли от базата данни. Въпреки това All-In-One Security подчерта, че използването на тази дупка в сигурността изисква вече компрометиран уебсайт на WordPress, за да се получи достъп до тази информация. Иначе казано – от администрацията на All-In-One Security казаха, че ако някой е откраднал паролите, то този някой трябва да е получил достъп до уърдпрес уебсайт със слаба защита.
Като предпазна мярка се препоръчва потребителите на WordPress да активират двустепенно удостоверяване при влизане в системите и незабавно да сменят паролите си, особено ако същите данни за вход са били използвани и в други уебсайтове.
В отделно разкритие на Wordfence, известна фирма за киберсигурност, разкри критична уязвимост (CVE-2023-3342, CVSS оценка: 9.9), засягаща плъгина за регистрация на потребители на WPEverest, който може да се похвали с повече от 60 000 активни инсталации. Недостатъкът в сигурността, отстранен в най-новата версия 3.0.2.1, позволява на вече удостоверени кибер-апаши с ограничени права (например обикновени потребители или абонати на бюлетини) да качват произволни файлове, включително PHP файлове, и потенциално да изпълняват отдалечен код на уязвими сървъри на системата.
Последните разкрития допълнително подчертават важността на своевременното актуализиране на плъгините и поддържането на надеждни мерки за сигурност.