پلاگین امنیتی All-In-One آسیب پذیری قرار گرفتن در معرض داده های حساس را در نسخه 5.2.0 – WP Tavern وصله می کند

به کاربران توصیه می شود برای ایمن سازی سایت های خود فورا به نسخه 5.2.0+ به روز رسانی کنند. در زمان انتشار، تقریباً هیچ کاربری به نسخه 5.2.0+ آپدیت نشده است و صدها هزار کاربر که نسخه 5.1.9 را اجرا می کنند همچنان آسیب پذیر هستند.

در پستی با عنوان “گذرواژه‌های Cleartext نوشته شده در aiowps_audit_log” که دو هفته و پنج روز پیش در انجمن پشتیبانی افزونه منتشر شد، @c0ntr07 این مشکل را گزارش کرد:

ما همچنین هشدار آسیب‌پذیری را برای همه کاربران Patchstack ارسال کرده‌ایم. امیدواریم تیم Updraft نیز همین کار را انجام دهد و به کاربران افزونه امنیتی خود بگوید که این گزارش‌ها را در اسرع وقت پاک کنند و از همه کاربران سایت بخواهند که رمزهای عبور را در هر جایی که از ترکیب‌های مشابه استفاده کرده‌اند تغییر دهند.




منبع: https://wptavern.com/all-in-one-security-plugin-patches-sensitive-data-exposure-vulnerability-in-version-5-2-0

چگونه می توان این مشکل را برطرف کرد تا در بررسی و ممیزی امنیتی آتی توسط حسابرسان انطباق شخص ثالث خود شکست نخوریم؟

من کاملا بودم بهت زده که یک پلاگین امنیتی چنین خطای اساسی امنیتی 101 را ایجاد می کند (غیر از انطباق با NIST 800-63-3، ISO27000، CIS، HIPAA، GDPR، و ….)

امنیت همه در یک (AIOS)، یک افزونه فعال در بیش از یک میلیون سایت وردپرس، مشخص شد که رمزهای عبور متن ساده را از تلاش های ورود به پایگاه داده ثبت می کند و مشکل امنیتی را در نسخه 5.2.0 اصلاح کرده است.

الیور سیلد، مدیر عامل Patchstack: «تاکنون توسعه‌دهنده حتی به کاربران نگفته است که همه رمزهای عبور را تغییر دهند. گفت در پاسخ به این موضوع در توییتر “با توجه به مقیاس، ما 100٪ شاهد خواهیم بود که هکرها اعتبارنامه ها را از گزارش های سایت های در معرض خطری که این افزونه را اجرا می کنند (یا اجرا کرده اند) جمع آوری می کنند.

در نسخه 5.2.0 که در 10 جولای 2023 منتشر شد، AIOS به‌روزرسانی‌های امنیتی زیر را در لاگ تغییرات افزونه گنجانده است:

  • SECURITY: قبل از ذخیره در پایگاه داده، داده های احراز هویت را از stacktrace حذف کنید
  • SECURITY: محدودیت‌های سخت‌تری را برای کارهایی که مدیران زیرسایت می‌توانند در چند سایت انجام دهند، تعیین کنید.

یک نماینده پشتیبانی از AIOS تأیید کرد که این یک باگ شناخته شده در آخرین نسخه بود و یک نسخه توسعه از یک فایل فشرده را با یک اصلاح ارائه کرد. بیش از دو هفته طول کشید تا پچ منتشر شود.

چگونه می توانم ثبت گذرواژه های متنی واضح را متوقف کنم؟