پلاگین امنیتی All-In-One آسیب پذیری قرار گرفتن در معرض داده های حساس را در نسخه 5.2.0 – WP Tavern وصله می کند
امنیت همه در یک (AIOS)، یک افزونه فعال در بیش از یک میلیون سایت وردپرس، مشخص شد که رمزهای عبور متن ساده را از تلاش های ورود به پایگاه داده ثبت می کند و مشکل امنیتی را در نسخه 5.2.0 اصلاح کرده است.
ما همچنین هشدار آسیبپذیری را برای همه کاربران Patchstack ارسال کردهایم. امیدواریم تیم Updraft نیز همین کار را انجام دهد و به کاربران افزونه امنیتی خود بگوید که این گزارشها را در اسرع وقت پاک کنند و از همه کاربران سایت بخواهند که رمزهای عبور را در هر جایی که از ترکیبهای مشابه استفاده کردهاند تغییر دهند.
چگونه می توانم ثبت گذرواژه های متنی واضح را متوقف کنم؟
به کاربران توصیه می شود برای ایمن سازی سایت های خود فورا به نسخه 5.2.0+ به روز رسانی کنند. در زمان انتشار، تقریباً هیچ کاربری به نسخه 5.2.0+ آپدیت نشده است و صدها هزار کاربر که نسخه 5.1.9 را اجرا می کنند همچنان آسیب پذیر هستند.
الیور سیلد، مدیر عامل Patchstack: «تاکنون توسعهدهنده حتی به کاربران نگفته است که همه رمزهای عبور را تغییر دهند. گفت در پاسخ به این موضوع در توییتر “با توجه به مقیاس، ما 100٪ شاهد خواهیم بود که هکرها اعتبارنامه ها را از گزارش های سایت های در معرض خطری که این افزونه را اجرا می کنند (یا اجرا کرده اند) جمع آوری می کنند.
یک نماینده پشتیبانی از AIOS تأیید کرد که این یک باگ شناخته شده در آخرین نسخه بود و یک نسخه توسعه از یک فایل فشرده را با یک اصلاح ارائه کرد. بیش از دو هفته طول کشید تا پچ منتشر شود.
من کاملا بودم بهت زده که یک پلاگین امنیتی چنین خطای اساسی امنیتی 101 را ایجاد می کند (غیر از انطباق با NIST 800-63-3، ISO27000، CIS، HIPAA، GDPR، و ….)