All-In-One Security 插件修复 5.2.0 版本中的敏感数据泄露漏洞

All-In-One Security (AIOS) 是一个在超过一百万个 WordPress 站点上活跃的插件,被发现会在数据库中记录登录尝试的纯文本密码,并已在 5.2.0 版本中修复了该安全问题。

在两周零五天前发布到插件支持论坛上的一篇题为“明文密码写入 aiowps_audit_log ”的帖子中,@c0ntr07 报告了该问题:

我对安全插件犯下如此基本的安全 101 错误感到非常 震惊 (更不用说不符合 NIST 800-63-3、ISO27000、CIS、HIPAA、GDPR 等)

如何停止记录明文密码?

如何解决这个问题,以免我们无法通过第三方合规审计员即将进行的安全审查和审计?

AIOS 的支持代表确认这是上一版本中的已知错误,并提供了包含修复程序的 zip 文件的开发副本。该补丁花了两周多的时间才发布。

在 2023 年 7 月 10 日发布的 5.2.0 版本中,AIOS 在插件的变更日志中包含以下安全更新:

  • 安全:在保存到数据库之前从堆栈跟踪中删除身份验证数据
  • 安全:对子站点管理员在多站点中可以执行的操作设置更严格的限制。

建议用户立即更新到版本 5.2.0+ 以保护其网站。截至发布时,几乎没有用户更新到 5.2.0+,导致运行 5.1.9 的数十万用户仍然容易受到攻击。

“到目前为止,开发者甚至还没有告诉用户更改所有密码,”Patchstack 首席执行官 Oliver Sild在 Twitter 上回应这一问题时表示。“由于规模庞大,我们将 100% 看到黑客从运行(或已经运行)此插件的受感染网站的日志中获取凭据。

“我们还向所有 Patchstack 用户发出了漏洞警报。希望 Updraft 团队也会这样做,并告诉他们的安全插件用户尽快清理这些日志,并要求所有网站用户在使用相同组合的地方更改密码。”

原文连接

欢迎关注WordPress大学公众号 WPDAXUE
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索