پلاگین امنیتی All-In-One آسیب پذیری قرار گرفتن در معرض داده های حساس را در نسخه 5.2.0 – WP Tavern وصله می کند

امنیت همه در یک (AIOS)، یک افزونه فعال در بیش از یک میلیون سایت وردپرس، مشخص شد که رمزهای عبور متن ساده را از تلاش های ورود به پایگاه داده ثبت می کند و مشکل امنیتی را در نسخه 5.2.0 اصلاح کرده است.

ما همچنین هشدار آسیب‌پذیری را برای همه کاربران Patchstack ارسال کرده‌ایم. امیدواریم تیم Updraft نیز همین کار را انجام دهد و به کاربران افزونه امنیتی خود بگوید که این گزارش‌ها را در اسرع وقت پاک کنند و از همه کاربران سایت بخواهند که رمزهای عبور را در هر جایی که از ترکیب‌های مشابه استفاده کرده‌اند تغییر دهند.




منبع: https://wptavern.com/all-in-one-security-plugin-patches-sensitive-data-exposure-vulnerability-in-version-5-2-0

در نسخه 5.2.0 که در 10 جولای 2023 منتشر شد، AIOS به‌روزرسانی‌های امنیتی زیر را در لاگ تغییرات افزونه گنجانده است:

  • SECURITY: قبل از ذخیره در پایگاه داده، داده های احراز هویت را از stacktrace حذف کنید
  • SECURITY: محدودیت‌های سخت‌تری را برای کارهایی که مدیران زیرسایت می‌توانند در چند سایت انجام دهند، تعیین کنید.

چگونه می توان این مشکل را برطرف کرد تا در بررسی و ممیزی امنیتی آتی توسط حسابرسان انطباق شخص ثالث خود شکست نخوریم؟

در پستی با عنوان “گذرواژه‌های Cleartext نوشته شده در aiowps_audit_log” که دو هفته و پنج روز پیش در انجمن پشتیبانی افزونه منتشر شد، @c0ntr07 این مشکل را گزارش کرد:

چگونه می توانم ثبت گذرواژه های متنی واضح را متوقف کنم؟

به کاربران توصیه می شود برای ایمن سازی سایت های خود فورا به نسخه 5.2.0+ به روز رسانی کنند. در زمان انتشار، تقریباً هیچ کاربری به نسخه 5.2.0+ آپدیت نشده است و صدها هزار کاربر که نسخه 5.1.9 را اجرا می کنند همچنان آسیب پذیر هستند.

الیور سیلد، مدیر عامل Patchstack: «تاکنون توسعه‌دهنده حتی به کاربران نگفته است که همه رمزهای عبور را تغییر دهند. گفت در پاسخ به این موضوع در توییتر “با توجه به مقیاس، ما 100٪ شاهد خواهیم بود که هکرها اعتبارنامه ها را از گزارش های سایت های در معرض خطری که این افزونه را اجرا می کنند (یا اجرا کرده اند) جمع آوری می کنند.

یک نماینده پشتیبانی از AIOS تأیید کرد که این یک باگ شناخته شده در آخرین نسخه بود و یک نسخه توسعه از یک فایل فشرده را با یک اصلاح ارائه کرد. بیش از دو هفته طول کشید تا پچ منتشر شود.

من کاملا بودم بهت زده که یک پلاگین امنیتی چنین خطای اساسی امنیتی 101 را ایجاد می کند (غیر از انطباق با NIST 800-63-3، ISO27000، CIS، HIPAA، GDPR، و ….)