Bir milyondan fazla sitede kurulu bir WordPress eklentisi olan All-In-One Security (AIOS), yazılımın 5.1.9 sürümünde ortaya çıkan bir hatanın kullanıcı şifrelerinin veritabanına düz metin biçiminde eklenmesine neden olmasının ardından bir güvenlik güncellemesi yayınladı.
AIOS’un koruyucuları UpdraftPlus, “Kötü niyetli bir site yöneticisi (yani, sitede yönetici olarak oturum açmış bir kullanıcı) daha sonra bunları okuyabilir”, söz konusu.
“Bu site yöneticileri, kullanıcılarınızın aynı parolayı kullanmış olabileceği diğer hizmetlerde bu parolaları denerse bu bir sorun olabilir. Bu diğer hizmetlerin oturum açma bilgileri iki faktörlü kimlik doğrulama ile korunmuyorsa, bu bir risk olabilir. etkilenen web sitesi.”
Sorun, yaklaşık üç hafta önce bir eklenti kullanıcısı bildirildi davranış, “bir güvenlik eklentisinin bu kadar basit bir güvenlik 101 hatası yapmasına kesinlikle şaşırdıklarını” belirtti.
AIOS ayrıca güncellemelerin mevcut kayıtlı verileri veritabanından kaldırdığını kaydetti, ancak başarılı bir istismarın bir tehdit aktörünün zaten bir WordPress sitesini başka yollarla tehlikeye atmış olması ve yönetici ayrıcalıklarına sahip olması veya şifrelenmemiş site yedeklerine yetkisiz erişim elde etmesi gerektiğini vurguladı.
Şirket, “Bu nedenle, birinin zaten sahip olmadığı ayrıcalıkları elde etme fırsatı küçük” dedi. “Yamalı sürüm, parolaların günlüğe kaydedilmesini durdurur ve önceden kaydedilmiş tüm parolaları siler.”
Önlem olarak, kullanıcıların, özellikle aynı kimlik bilgisi kombinasyonları diğer sitelerde kullanılmışsa, WordPress’te iki faktörlü kimlik doğrulamayı etkinleştirmeleri ve parolaları değiştirmeleri önerilir.
Açıklama, Wordfence’in WPEverest’i etkileyen kritik bir kusuru ortaya çıkarmasıyla geldi. Kullanıcı Kaydı 60.000’den fazla aktif yüklemeye sahip eklenti (CVE-2023-3342, CVSS puanı: 9.9). Güvenlik açığı, 3.0.2.1 sürümünde giderilmiştir.
Wordfence araştırmacısı István Márton, “Bu güvenlik açığı, abone gibi minimum izinlere sahip kimliği doğrulanmış bir saldırganın PHP dosyaları da dahil olmak üzere rasgele dosyalar yüklemesine ve savunmasız bir sitenin sunucusunda uzaktan kod yürütmesine olanak tanıyor.” söz konusu.