Bir milyondan fazla WordPress sitesi tarafından kullanılan hepsi bir arada güvenlik (AIOS) WordPress güvenlik eklentisinin, kullanıcı giriş denemelerinden sitenin veritabanına düz metin şifrelerini kaydettiği ve hesap güvenliğini riske attığı bulunmuştur.
AIOS, Updraft tarafından geliştirilen ve WordPress siteleri için web uygulaması güvenlik duvarı, içerik koruması ve giriş güvenlik araçları sunan, botları durdurmayı ve kaba kuvvet saldırılarını önlemeyi vaat eden hepsi bir arada bir çözümdür.
Kabaca üç hafta önce, bir kullanıcı, AIOS v5.1.9 eklentisinin yalnızca girişleri, oturum açma ve başarısız giriş olaylarını izlemek için kullanılan AIOWPS_AUDIT_LOG veritabanı tablosuna kullanıcı giriş denemelerini kaydetmekle kalmadığını, ancak girilen parolayı kaydeddiğini bildirdi.
Kullanıcı, bu faaliyetin NIST 800-63 3, ISO 27000 ve GDPR dahil olmak üzere birden fazla güvenlik uyumluluk standartlarını ihlal ettiği endişesini dile getirdi.
Ancak, Updraft'ın destek acentesi bunun "bilinen bir hata" olduğunu söyleyerek ve bir sonraki sürümde bir düzeltme hakkında belirsiz bir söz vererek yanıt verdi.
Sorunun kritikliğini fark ettikten sonra, destek, iki hafta önce ilgili kullanıcılara yaklaşan sürümün geliştirme yapılarını sundu. Yine de, geliştirme derlemelerini yüklemeye çalışanlar, rapor edilen web sitesi sorunları ve şifre günlüklerinin kaldırılmadığını.
Sonunda, 11 Temmuz'da AIOS satıcısı, düz metin şifrelerini kaydetmeyi önlemek için bir düzeltme içeren ve eski girişleri temizleyen 5.2.0 sürümünü yayınladı.
"AIOS Sürüm 5.2.0 ve daha yeni güncellemeler, 5.1.9'da bir hata düzeltti, bu da kullanıcıların parolalarının WordPress veritabanına düz metinle eklenmesine neden oldu."
Diyerek şöyle devam etti: "[Kötü niyetli] site yöneticileri, kullanıcılarınızın aynı şifreyi kullanmış olabileceği diğer hizmetlerdeki şifreleri denemek olsaydı bu bir sorun olurdu."
Maruz kalan kişilerin giriş bilgileri bu diğer platformlarda iki faktörlü kimlik doğrulama ile korunmazsa, haydut yöneticiler hesaplarını kolayca devralabilir.
Kötü niyetli yönetici senaryosunun yanı sıra, Sitenin veritabanına erişim kazanan kötü bir aktör, düz metin formunda kullanıcı şifrelerini ekspiltrat edebileceğinden, AIO'ları kullanan web siteleri hacker ihlallerinden yüksek riskle karşılaşacaktır.
Yazma sırasında, WordPress.org istatistikleri, AIOS kullanıcılarının yaklaşık dörtte birinin güncellemeyi 5.2.0'a uyguladığını, bu nedenle 750.000'den fazla sitenin savunmasız kaldığını gösteriyor.
Ne yazık ki, WordPress tehdit aktörleri için ortak bir hedefle, AIO'ları kullanan bazı sitelerin zaten tehlikeye girme şansı var ve sorunun üç hafta boyunca çevrimiçi olarak dolaştığı düşünüldüğünde, bilgisayar korsanlarının yararlanmak için bolca fırsata sahipti. Eklentinin yaratıcısının yavaş yanıtı.
Ayrıca, maruz kalma süresi boyunca hiçbir noktada, Updraft'ın kullanıcılarını yüksek maruz kalma riski konusunda uyarması ve hangi eylemlerin gerçekleştirileceğini bildirmesi talihsiz bir durumdur.
AIOS kullanan web siteleri artık en son sürüme güncellenmeli ve kullanıcılardan şifrelerini sıfırlamalarını istemelidir.
Bilgisayar korsanları, 200K yüklemelerle Ultimate üye WordPress eklentisinde sıfır gün istismar
WordPress Stripe Ödeme Eklentisi Hata Sızıntıları Müşteri Sipariş Detayları
Hackerlar, POC çıktıktan sonra savunmasız WordPress Elementor eklentisini hedef hedef
Bu chatgpt eklentisi ile WordPress sitenize AI özellikleri ekleyin
WordPress eklentisi "Yerçekimi Formları" PHP nesne enjeksiyonuna karşı savunmasız
Kaynak: Bleeping Computer