All-In-One Security (AIOS), un complemento de WordPress instalado en más de un millón de sitios, emitió una actualización de seguridad después de que un error introducido en la versión 5.1.9 del software causara que las contraseñas de los usuarios se agregaran a la base de datos en formato de texto sin formato.
«Un administrador del sitio malicioso (es decir, un usuario que ya inició sesión en el sitio como administrador) podría haberlos leído», UpdraftPlus, los mantenedores de AIOS, dicho.
«Esto sería un problema si esos administradores del sitio probaran esas contraseñas en otros servicios donde sus usuarios podrían haber usado la misma contraseña. Si los inicios de sesión de esos otros servicios no están protegidos por autenticación de dos factores, esto podría ser un riesgo para el sitio web afectado».
El problema surgió hace casi tres semanas cuando un usuario del complemento reportado el comportamiento, afirmando que estaban «absolutamente sorprendidos de que un complemento de seguridad esté cometiendo un error de seguridad 101 tan básico».
AIOS también señaló que las actualizaciones eliminan los datos registrados existentes de la base de datos, pero enfatizó que la explotación exitosa requiere que un actor de amenazas ya haya comprometido un sitio de WordPress por otros medios y tenga privilegios administrativos, o haya obtenido acceso no autorizado a copias de seguridad del sitio sin cifrar.
«Como tal, la oportunidad de que alguien obtenga privilegios que aún no tenía, es pequeña», dijo la compañía. «La versión parcheada evita que se registren las contraseñas y borra todas las contraseñas guardadas anteriormente».
Como precaución, se recomienda que los usuarios habiliten la autenticación de dos factores en WordPress y cambien las contraseñas, especialmente si se han usado las mismas combinaciones de credenciales en otros sitios.
La divulgación se produce cuando Wordfence reveló una falla crítica que afecta a WPEverest registro de usuario complemento (CVE-2023-3342, puntaje CVSS: 9.9) que tiene más de 60,000 instalaciones activas. La vulnerabilidad se solucionó en la versión 3.0.2.1.
«Esta vulnerabilidad hace posible que un atacante autenticado con permisos mínimos, como un suscriptor, cargue archivos arbitrarios, incluidos archivos PHP, y logre la ejecución remota de código en el servidor de un sitio vulnerable», dijo el investigador de Wordfence István Márton. dicho.