AIOS WordPress Plugin-ը անվտանգության նոր թարմացումներ է թողարկել

AIOS WordPress Plugin-ը անվտանգության նոր թարմացումներ է թողարկել

All-In-One Security (AIOS) WordPress հավելվածը, որը տեղակայված է ավելի քան մեկ միլիոն կայքերում, թողարկել է անվտանգության հրատապ թարմացումներ: Ծրագրի 5.1.9 տարբերակում առկա խոցելիությունը պատճառ է դարձել, որ օգտագործողների գաղտնաբառերը plaintext ֆորմատով ավելացվեն տվյալների բազայում:

«Malware տարածող կայքի ադմինիստրատորը (այսինքն՝ օգտատերը, որն արդեն մուտք է գործել կայք որպես ադմին), կարող է հանգիստ ընթերցել դրանք», – նշում է AIOS-ի սպասարկող՝ UpdraftPlus-ը:

Խնդիրն առաջին անգամ ի հայտ եկավ մոտ երեք շաբաթ առաջ, երբ հավելվածի օգտատերը զեկուցեց դրա մասին՝ նշելով, որ իրենք «շատ մտահոգ են, քանի որ անվտանգության plugin-ը թույլ է տալիս բազային անվտանգության 101 սխալ»:

AIOS-ը նաև նշել է, որ թարմացումները տվյալների բազայից հեռացնում են առկա գրանցված տվյալները, ընդգծում է նաև, որ հաքերն արդեն իսկ վնասել է WordPress կայքը այլ միջոցներով և ադմինիստրատիվ արտոնություններ ձեռք բերել կայքին հասանելիություն ստանալու համար:

Օգտատերերին խորհուրդ է տրվում WordPress-ում ակտիվացնել two-factor authentication-ը  և փոխել ներկայիս գաղտնաբառերը, հատկապես, եթե նույն հավատարմագրերի կոմբինացիաներն արդեն օգտագործվել են այլ կայքերում:

Բացահայտման համաձայան Wordfence-ը վերհանեց մի կրիտիկական խոցելիություն, որն ազդում է WPEverest-ի  User Registration-ի plugin-ի վրա (CVE-2023-3342, CVSS-ում միավորը՝ 9.9), ինչն արդեն ունի ավելի քան՝ 60,000 ակտիվ տեղադրում:

Վերջին տվյալների համաձայն խոցելիությունն արդեն իսկ վերացվել է 3.0.2.1 տարբերակում:

 

Աղբյուրը՝  https://thehackernews.com/