{"id":830638,"date":"2023-07-14T16:43:41","date_gmt":"2023-07-14T18:43:41","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-plugin-aios-wordpress-fait-face-a-un-contrecoup-pour-le-stockage-des-mots-de-passe-utilisateur-en-texte-brut\/"},"modified":"2023-07-14T16:43:44","modified_gmt":"2023-07-14T18:43:44","slug":"le-plugin-aios-wordpress-fait-face-a-un-contrecoup-pour-le-stockage-des-mots-de-passe-utilisateur-en-texte-brut","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-plugin-aios-wordpress-fait-face-a-un-contrecoup-pour-le-stockage-des-mots-de-passe-utilisateur-en-texte-brut\/","title":{"rendered":"Le plugin AIOS WordPress fait face \u00e0 un contrecoup pour le stockage des mots de passe utilisateur en texte brut"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 par mot de passe \/ WordPress<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>All-In-One Security (AIOS), un plugin WordPress install\u00e9 sur plus d&#8217;un million de sites, a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9 apr\u00e8s qu&#8217;un bogue introduit dans la version 5.1.9 du logiciel a entra\u00een\u00e9 l&#8217;ajout des mots de passe des utilisateurs \u00e0 la base de donn\u00e9es au format texte brut.<\/p>\n<p>&#8220;Un administrateur de site malveillant (c&#8217;est-\u00e0-dire un utilisateur d\u00e9j\u00e0 connect\u00e9 au site en tant qu&#8217;administrateur) pourrait alors les avoir lues&#8221;, a d\u00e9clar\u00e9 UpdraftPlus, les mainteneurs d&#8217;AIOS, <a rel=\"nofollow noopener\" href=\"https:\/\/aiosplugin.com\/all-in-one-security-aios-wordpress-security-plugin-release-5-2-0\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Ce serait un probl\u00e8me si ces administrateurs de site essayaient ces mots de passe sur d&#8217;autres services o\u00f9 vos utilisateurs auraient pu utiliser le m\u00eame mot de passe. Si les connexions de ces autres services ne sont pas prot\u00e9g\u00e9es par une authentification \u00e0 deux facteurs, cela pourrait constituer un risque pour le site Web concern\u00e9.&#8221;<\/p>\n<p>Le probl\u00e8me est apparu il y a pr\u00e8s de trois semaines lorsqu&#8217;un utilisateur du plugin <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/support\/topic\/cleartext-passwords-written-to-aiowps_audit_log\/\" target=\"_blank\">signal\u00e9<\/a> le comportement, d\u00e9clarant qu&#8217;ils \u00e9taient &#8220;absolument choqu\u00e9s qu&#8217;un plugin de s\u00e9curit\u00e9 fasse une erreur de s\u00e9curit\u00e9 101 aussi basique&#8221;.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>AIOS a \u00e9galement not\u00e9 que les mises \u00e0 jour suppriment les donn\u00e9es enregistr\u00e9es existantes de la base de donn\u00e9es, mais a soulign\u00e9 qu&#8217;une exploitation r\u00e9ussie n\u00e9cessite qu&#8217;un acteur malveillant ait d\u00e9j\u00e0 compromis un site WordPress par d&#8217;autres moyens et dispose de privil\u00e8ges administratifs, ou ait obtenu un acc\u00e8s non autoris\u00e9 \u00e0 des sauvegardes de site non crypt\u00e9es.<\/p>\n<p>&#8220;En tant que tel, l&#8217;opportunit\u00e9 pour quelqu&#8217;un d&#8217;obtenir des privil\u00e8ges qu&#8217;il n&#8217;avait pas d\u00e9j\u00e0 est faible&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.  &#8220;La version corrig\u00e9e arr\u00eate l&#8217;enregistrement des mots de passe et efface tous les mots de passe enregistr\u00e9s pr\u00e9c\u00e9demment.&#8221;<\/p>\n<p>Par mesure de pr\u00e9caution, il est recommand\u00e9 aux utilisateurs d&#8217;activer l&#8217;authentification \u00e0 deux facteurs sur WordPress et de modifier les mots de passe, en particulier si les m\u00eames combinaisons d&#8217;informations d&#8217;identification ont \u00e9t\u00e9 utilis\u00e9es sur d&#8217;autres sites.<\/p>\n<p>La divulgation intervient alors que Wordfence a r\u00e9v\u00e9l\u00e9 une faille critique affectant WPeverest <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/plugins\/user-registration\/\" target=\"_blank\">Enregistrement de l&#8217;utilisateur<\/a> plugin (CVE-2023-3342, score CVSS\u00a0: 9,9) qui compte plus de 60\u00a0000\u00a0installations actives.  La vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e dans la version 3.0.2.1.<\/p>\n<p>&#8220;Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant authentifi\u00e9 avec des autorisations minimales, comme un abonn\u00e9, de t\u00e9l\u00e9charger des fichiers arbitraires, y compris des fichiers PHP, et d&#8217;ex\u00e9cuter du code \u00e0 distance sur le serveur d&#8217;un site vuln\u00e9rable&#8221;, a d\u00e9clar\u00e9 le chercheur de Wordfence, Istv\u00e1n M\u00e1rton. <a rel=\"nofollow noopener\" href=\"https:\/\/www.wordfence.com\/blog\/2023\/07\/interesting-arbitrary-file-upload-vulnerability-patched-in-user-registration-wordpress-plugin\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/aios-wordpress-plugin-faces-backlash.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 juil. 2023\ue804THNS\u00e9curit\u00e9 par mot de passe \/ WordPress All-In-One Security (AIOS), un plugin WordPress install\u00e9 sur plus d&#8217;un million de sites, a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9 apr\u00e8s qu&#8217;un bogue introduit dans la version 5.1.9 du logiciel a entra\u00een\u00e9 l&#8217;ajout des mots de passe des utilisateurs \u00e0 la base de donn\u00e9es au [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":830639,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[173891,12396,4168,32058,4158,4165,4161,133,1006,369,4157,4159,4171,4170,4167,4160,5722,4163,4162,769,51599,185,4172,4169,8860,13128,1730,4166,4164,51600],"class_list":["post-830638","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aios","tag-brut","tag-comment-pirater","tag-contrecoup","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-face","tag-fait","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mots","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-passe","tag-plugin","tag-pour","tag-securite-informatique","tag-securite-internet","tag-stockage","tag-texte","tag-utilisateur","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/830638","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=830638"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/830638\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/830639"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=830638"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=830638"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=830638"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}