• Votre panier est vide.

  • LOGIN

Le plugin WordPress AIOS a trouvé des mots de passe de journalisation en texte brut


Certains articles de veille peuvent faire l'objet de traduction automatique.


Le plugin de sécurité WordPress All-in-One Security (AIOS) a enregistré en silence les activités de connexion et les mots de passe des utilisateurs en texte clair. L’équipe du plugin a corrigé la faille après la divulgation publique de l’affaire. Étant donné que le correctif est maintenant disponible, les administrateurs WordPress doivent mettre à jour leurs sites Web immédiatement pour prévenir les menaces potentielles.

Mots de passe en texte brut stockés dans le plugin AIOS WordPress

Apparemment, l’équipe de développeurs derrière le plugin AIOS WordPress a publié une mise à jour importante corrigeant une grave faille de sécurité.

Selon eux consultatif, la vulnérabilité du plug-in entraînait la journalisation des mots de passe des utilisateurs en texte brut dans la base de données WordPress. La faille risquait gravement de compromettre la sécurité des sites Web WordPress si les administrateurs réutilisaient les mêmes mots de passe sur les comptes d’autres services sans authentification à deux facteurs.

AIOS – All-in-One Security – est un plugin de sécurité WordPress dédié qui protège les sites Web contre les menaces de cybersécurité courantes. Ceux-ci incluent la protection contre la rédaction, la prévention iFrame pour limiter le vol de contenu, le filtrage des spams de commentaires et un pare-feu d’application Web.

Bien que le plug-in soit extrêmement utile pour les sites Web, la journalisation flagrante des mots de passe en texte clair a apparemment échoué dans l’ensemble de l’objectif du plug-in.

La vulnérabilité est devenue publique après qu’un utilisateur a signalé le problème via la section d’assistance officielle de WordPress. Comme souligné dans la plainteles tentatives de connexion de l’utilisateur connecté au plug-in aiowps_audit_log base de données, les tentatives de connexion et de déconnexion, les tentatives de connexion infructueuses et les données les plus alarmantes – les mots de passe des utilisateurs – en clair, enfreignant les normes de conformité de sécurité de base.

En réponse, l’agent de support a assuré l’utilisateur d’un correctif à venir, partageant même les versions de développement pour une solution rapide. Néanmoins, compte tenu de la gravité du problème, la publication retardée du correctif a également concerné de nombreux utilisateurs. Oliver Sild, PDG de Patchstack, a également souligné comment la faille menaçait plus d’un million de sites Web dans son tweet.

La vulnérabilité a affecté la version 5.1.9 du plug-in AIOS, et l’équipe a ensuite corrigé la faille avec la version 5.2.0 maintenant publiée. Les développeurs ont également partagé les détails de la vulnérabilité sur le journal des modifications de la page du plugin.

Étant donné que le correctif est maintenant disponible, tous les administrateurs WordPress doivent mettre à jour leurs sites Web avec la dernière version pour éviter les menaces potentielles.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

juillet 18, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)