All-In-One Security (AIOS) WordPress հավելվածը, որը տեղակայված է ավելի քան մեկ միլիոն կայքերում, թողարկել է անվտանգության հրատապ թարմացումներ: Ծրագրի 5.1.9 տարբերակում առկա խոցելիությունը պատճառ է դարձել, որ օգտագործողների գաղտնաբառերը plaintext ֆորմատով ավելացվեն տվյալների բազայում:
«Malware տարածող կայքի ադմինիստրատորը (այսինքն՝ օգտատերը, որն արդեն մուտք է գործել կայք որպես ադմին), կարող է հանգիստ ընթերցել դրանք», – նշում է AIOS-ի սպասարկող՝ UpdraftPlus-ը:
Խնդիրն առաջին անգամ ի հայտ եկավ մոտ երեք շաբաթ առաջ, երբ հավելվածի օգտատերը զեկուցեց դրա մասին՝ նշելով, որ իրենք «շատ մտահոգ են, քանի որ անվտանգության plugin-ը թույլ է տալիս բազային անվտանգության 101 սխալ»:
AIOS-ը նաև նշել է, որ թարմացումները տվյալների բազայից հեռացնում են առկա գրանցված տվյալները, ընդգծում է նաև, որ հաքերն արդեն իսկ վնասել է WordPress կայքը այլ միջոցներով և ադմինիստրատիվ արտոնություններ ձեռք բերել կայքին հասանելիություն ստանալու համար:
Օգտատերերին խորհուրդ է տրվում WordPress-ում ակտիվացնել two-factor authentication-ը և փոխել ներկայիս գաղտնաբառերը, հատկապես, եթե նույն հավատարմագրերի կոմբինացիաներն արդեն օգտագործվել են այլ կայքերում:
Բացահայտման համաձայան Wordfence-ը վերհանեց մի կրիտիկական խոցելիություն, որն ազդում է WPEverest-ի User Registration-ի plugin-ի վրա (CVE-2023-3342, CVSS-ում միավորը՝ 9.9), ինչն արդեն ունի ավելի քան՝ 60,000 ակտիվ տեղադրում:
Վերջին տվյալների համաձայն խոցելիությունն արդեն իսկ վերացվել է 3.0.2.1 տարբերակում:
Աղբյուրը՝ https://thehackernews.com/
