Bleeping Computer 网站披露,记录超过百万 WordPress 网站使用的超百插件 All-In-One Security(AIOS)WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中,此举可能危及账户安全。点使
AIOS 是被曝 Updraft 开发的一体式解决方案,主要为 WordPress 网站提供网络应用程序防火墙、明文密码内容保护和登录安全工具,记录以阻止机器人并防止暴力攻击。超百插件
大约在三周前,点使一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中,被曝用于跟踪登录、明文密码注销和失败的记录登录事件,还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准,
1689565567_64b4b97ff31c5bf272307.png!small?1689565568131
漏洞的初步报告(wordpress.org)
接到反馈后,Updraft 方面回应称该问题是一个 "已知错误",并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后,Updraft 支持人员两周前向相关用户提供了即将发布的开发版,但是试图安装开发版的用户仍指出密码日志没有被删除。
7 月 11 日,AIOS 供应商发布了 5.2.0 版本,其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误,该错误导致用户密码以明文形式添加到 WordPress 数据库中。
一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码,此举会带来一些安全问题。此外,一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护,“恶意”管理员就可以轻易接管用户的账户。
除了“恶意”管理员带来的安全风险外,使用 AIOS 的网站还将面临黑客入侵的风险,这些黑客一旦获得网站数据库访问权限,便有可能会以明文形式泄露用户密码。
1689565596_64b4b99c5c477911bdef9.png!small
截止到文章发布,WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本,因此推算大概仍有超过 75 万个网站处于易受攻击状态。
更不幸的是,WordPress 一直以来都是网络攻击者的攻击目标,一些使用 AIOS 的网站可能已经被泄露,再加上该安全问题已经在网上传播了三周多,且 Updraft 没有警告用户暴露风险的增加,因此,可能已经发生了一些安全威胁事件。
最后,使用 AIOS 的网站应该尽快更新到最新版本,并要求用户重置密码。
文章来源;https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/
责任编辑:赵宁宁 来源: 黑客 密码黑客(责任编辑:休闲)
中国海油有限海南分公司一季度天然气增幅54% 有效保障粤港琼天然气需求
四川巴中恩阳机场新增航线直通18个城市 去年旅客吞吐量38.2万人次
俗话说“寒露百花凋”猜猜哪种花会在寒露时节盛开?蚂蚁庄园10.8日答案
如何在CentOS或RHEL上搭建Squid透明Web代理系统?