Bir milyondan fazla sitede kurulu bir WordPress eklentisi olan All-In-One Security (AIOS), yazılımın 5.1.9 sürümünde ortaya çıkan bir hatanın kullanıcı parolalarının veritabanına düz metin biçiminde eklenmesine neden olmasının ardından bir güvenlik güncellemesi yayınladı.
AIOS’un koruyucuları UpdraftPlus, “Kötü niyetli bir site yöneticisi (yani, sitede yönetici olarak oturum açmış bir kullanıcı) daha sonra bunları okuyabilir” dedi.
“Bu site yöneticileri, kullanıcılarınızın aynı parolayı kullanmış olabileceği diğer hizmetlerde bu parolaları denerse bu bir sorun olabilir. Bu diğer hizmetlerin oturum açma bilgileri iki faktörlü kimlik doğrulama ile korunmuyorsa, bu bir risk olabilir. etkilenen web sitesi.”
Sorun, yaklaşık üç hafta önce, eklentinin bir kullanıcısının “bir güvenlik eklentisinin böylesine temel bir güvenlik 101 hatası yapmasına kesinlikle şaşırdıklarını” belirterek bu davranışı bildirdiğinde ortaya çıktı.
AIOS ayrıca güncellemelerin mevcut kayıtlı verileri veritabanından kaldırdığını kaydetti, ancak başarılı bir şekilde istismarın bir tehdit aktörünün zaten bir WordPress sitesini başka yollarla tehlikeye atmış olması ve yönetici ayrıcalıklarına sahip olması veya şifrelenmemiş site yedeklerine yetkisiz erişim elde etmesi gerektiğini vurguladı.
Şirket, “Bu nedenle, birinin zaten sahip olmadığı ayrıcalıkları elde etme fırsatı küçük” dedi. “Yamalı sürüm, parolaların günlüğe kaydedilmesini durdurur ve önceden kaydedilmiş tüm parolaları siler.”
Bir önlem olarak, kullanıcıların, özellikle aynı kimlik bilgisi kombinasyonları diğer sitelerde kullanılmışsa, WordPress’te iki faktörlü kimlik doğrulamayı etkinleştirmeleri ve parolaları değiştirmeleri önerilir.
Açıklama, Wordfence’in WPEverest’in 60.000’den fazla aktif kurulumu olan Kullanıcı Kaydı eklentisini (CVE-2023-3342, CVSS puanı: 9.9) etkileyen kritik bir kusuru ortaya çıkarmasıyla geldi. Güvenlik açığı, 3.0.2.1 sürümünde giderilmiştir.
Wordfence araştırmacısı István Márton, “Bu güvenlik açığı, abone gibi minimum izinlere sahip kimliği doğrulanmış bir saldırganın PHP dosyaları da dahil olmak üzere rasgele dosyalar yüklemesine ve savunmasız bir sitenin sunucusunda uzaktan kod yürütmesine olanak tanıyor.” dedi.