Certains articles de veille peuvent faire l'objet de traduction automatique.
Le plugin de sécurité WordPress All-in-One Security (AIOS) a enregistré en silence les activités de connexion et les mots de passe des utilisateurs en texte clair. L’équipe du plugin a corrigé la faille après la divulgation publique de l’affaire. Étant donné que le correctif est maintenant disponible, les administrateurs WordPress doivent mettre à jour leurs sites Web immédiatement pour prévenir les menaces potentielles.
Mots de passe en texte brut stockés dans le plugin AIOS WordPress
Apparemment, l’équipe de développeurs derrière le plugin AIOS WordPress a publié une mise à jour importante corrigeant une grave faille de sécurité.
Selon eux consultatif, la vulnérabilité du plug-in entraînait la journalisation des mots de passe des utilisateurs en texte brut dans la base de données WordPress. La faille risquait gravement de compromettre la sécurité des sites Web WordPress si les administrateurs réutilisaient les mêmes mots de passe sur les comptes d’autres services sans authentification à deux facteurs.
AIOS – All-in-One Security – est un plugin de sécurité WordPress dédié qui protège les sites Web contre les menaces de cybersécurité courantes. Ceux-ci incluent la protection contre la rédaction, la prévention iFrame pour limiter le vol de contenu, le filtrage des spams de commentaires et un pare-feu d’application Web.
Bien que le plug-in soit extrêmement utile pour les sites Web, la journalisation flagrante des mots de passe en texte clair a apparemment échoué dans l’ensemble de l’objectif du plug-in.
La vulnérabilité est devenue publique après qu’un utilisateur a signalé le problème via la section d’assistance officielle de WordPress. Comme souligné dans la plainteles tentatives de connexion de l’utilisateur connecté au plug-in aiowps_audit_log
base de données, les tentatives de connexion et de déconnexion, les tentatives de connexion infructueuses et les données les plus alarmantes – les mots de passe des utilisateurs – en clair, enfreignant les normes de conformité de sécurité de base.
En réponse, l’agent de support a assuré l’utilisateur d’un correctif à venir, partageant même les versions de développement pour une solution rapide. Néanmoins, compte tenu de la gravité du problème, la publication retardée du correctif a également concerné de nombreux utilisateurs. Oliver Sild, PDG de Patchstack, a également souligné comment la faille menaçait plus d’un million de sites Web dans son tweet.
Il compte plus d’un million d’installations actives. Jusqu’à présent, le développeur n’a même pas dit aux utilisateurs de changer tous les mots de passe. En raison de l’échelle, nous verrons à 100% les pirates récupérer les informations d’identification à partir des journaux des sites compromis qui exécutent (ou ont exécuté) ce plugin.
—Oliver Sild (@OliverSild) 12 juillet 2023
La vulnérabilité a affecté la version 5.1.9 du plug-in AIOS, et l’équipe a ensuite corrigé la faille avec la version 5.2.0 maintenant publiée. Les développeurs ont également partagé les détails de la vulnérabilité sur le journal des modifications de la page du plugin.
Étant donné que le correctif est maintenant disponible, tous les administrateurs WordPress doivent mettre à jour leurs sites Web avec la dernière version pour éviter les menaces potentielles.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire