探索网络安全新技术
攀登黑客技术最高峰

WordPress 安全插件 AIOS 明文记录密码到数据库中 危害数百万网站

超过百万 WordPress 网站使用的 All-In-One Security(AIOS)WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中,此举可能危及账户安全。

AIOS 是 Updraft 开发的一体式解决方案,主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具,以阻止机器人并防止暴力攻击。

大约在三周前,一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中,用于跟踪登录、注销和失败的登录事件,还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准,

WordPress 安全插件 AIOS 明文记录密码到数据库中 危害数百万网站-威武网安

接到反馈后,Updraft 方面回应称该问题是一个 “已知错误”,并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后,Updraft 支持人员两周前向相关用户提供了即将发布的开发版,但是试图安装开发版的用户仍指出密码日志没有被删除。

AIOS 供应商发布了 5.2.0 版本,其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误,该错误导致用户密码以明文形式添加到 WordPress 数据库中。

一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码,此举会带来一些安全问题。此外,一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护,“恶意”管理员就可以轻易接管用户的账户。

除了“恶意”管理员带来的安全风险外,使用 AIOS 的网站还将面临黑客入侵的风险,这些黑客一旦获得网站数据库访问权限,便有可能会以明文形式泄露用户密码。

WordPress 安全插件 AIOS 明文记录密码到数据库中 危害数百万网站-威武网安

截止到文章发布,WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本,因此推算大概仍有超过 75 万个网站处于易受攻击状态。

更不幸的是,WordPress 一直以来都是网络攻击者的攻击目标,一些使用 AIOS 的网站可能已经被泄露,再加上该安全问题已经在网上传播了三周多,且 Updraft 没有警告用户暴露风险的增加,因此,可能已经发生了一些安全威胁事件。

最后,使用 AIOS 的网站应该尽快更新到最新版本,并要求用户重置密码。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《WordPress 安全插件 AIOS 明文记录密码到数据库中 危害数百万网站》
文章链接:https://www.wevul.com/1930.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册