All-In-One Security (AIOS), un plugin WordPress installé sur plus d’un million de sites, a publié une mise à jour de sécurité après qu’un bogue introduit dans la version 5.1.9 du logiciel a entraîné l’ajout des mots de passe des utilisateurs à la base de données au format texte brut.
« Un administrateur de site malveillant (c’est-à-dire un utilisateur déjà connecté au site en tant qu’administrateur) pourrait alors les avoir lues », a déclaré UpdraftPlus, les mainteneurs d’AIOS, a dit.
« Ce serait un problème si ces administrateurs de site essayaient ces mots de passe sur d’autres services où vos utilisateurs auraient pu utiliser le même mot de passe. Si les connexions de ces autres services ne sont pas protégées par une authentification à deux facteurs, cela pourrait constituer un risque pour le site Web concerné. »
Le problème est apparu il y a près de trois semaines lorsqu’un utilisateur du plugin signalé le comportement, déclarant qu’ils étaient « absolument choqués qu’un plugin de sécurité fasse une erreur de sécurité 101 aussi basique ».
AIOS a également noté que les mises à jour suppriment les données enregistrées existantes de la base de données, mais a souligné qu’une exploitation réussie nécessite qu’un acteur malveillant ait déjà compromis un site WordPress par d’autres moyens et dispose de privilèges administratifs, ou ait obtenu un accès non autorisé à des sauvegardes de site non cryptées.
« En tant que tel, l’opportunité pour quelqu’un d’obtenir des privilèges qu’il n’avait pas déjà est faible », a déclaré la société. « La version corrigée arrête l’enregistrement des mots de passe et efface tous les mots de passe enregistrés précédemment. »
Par mesure de précaution, il est recommandé aux utilisateurs d’activer l’authentification à deux facteurs sur WordPress et de modifier les mots de passe, en particulier si les mêmes combinaisons d’informations d’identification ont été utilisées sur d’autres sites.
La divulgation intervient alors que Wordfence a révélé une faille critique affectant WPeverest Enregistrement de l’utilisateur plugin (CVE-2023-3342, score CVSS : 9,9) qui compte plus de 60 000 installations actives. La vulnérabilité a été corrigée dans la version 3.0.2.1.
« Cette vulnérabilité permet à un attaquant authentifié avec des autorisations minimales, comme un abonné, de télécharger des fichiers arbitraires, y compris des fichiers PHP, et d’exécuter du code à distance sur le serveur d’un site vulnérable », a déclaré le chercheur de Wordfence, István Márton. a dit.