Bleeping Computer 網(wǎng)站披露，超過百萬 WordPress 網(wǎng)站使用的 All-In-One Security（AIOS）WordPress安全插件被曝將用戶嘗試登錄的明文密碼記錄到網(wǎng)站數(shù)據(jù)庫中，此舉可能危及賬戶安全。

AIOS 是 Updraft 開發(fā)的一體式解決方案，主要為 WordPress 網(wǎng)站提供網(wǎng)絡(luò)應(yīng)用程序防火墻、內(nèi)容保護和登錄安全工具，以阻止機器人并防止暴力攻擊。

大約在三周前，一位用戶反應(yīng) AIOS v5.1.9 插件不僅將用戶嘗試登錄記錄到 aiowps_audit_log 數(shù)據(jù)庫表中，用于跟蹤登錄、注銷和失敗的登錄事件，還記錄了用了輸入的密碼。該用戶擔心此舉違反了包括NIST 800-63 3、ISO 27000和GDPR在內(nèi)的多項安全合規(guī)標準，

1689565567_64b4b97ff31c5bf272307.png!small?1689565568131

漏洞的初步報告（wordpress.org）

接到反饋后，Updraft 方面回應(yīng)稱該問題是一個 "已知錯誤"，并含糊地承諾將在下一個版修復(fù)問題。在意識到問題的嚴重性后，Updraft 支持人員兩周前向相關(guān)用戶提供了即將發(fā)布的開發(fā)版，但是試圖安裝開發(fā)版的用戶仍指出密碼日志沒有被刪除。

修復(fù)程序現(xiàn)已發(fā)布

7 月 11 日，AIOS 供應(yīng)商發(fā)布了 5.2.0 版本，其中包括一個防止保存明文密碼并清除舊條目的修復(fù)程序。AIOS 供應(yīng)商在公告中一再強調(diào) AIOS 發(fā)布的 5.2.0 版本更新版本修復(fù)了 5.1.9 版本中存在的一個錯誤，該錯誤導(dǎo)致用戶密碼以明文形式添加到 WordPress 數(shù)據(jù)庫中。

一旦“惡意”網(wǎng)站管理員在用戶可能使用相同密碼的其他服務(wù)上嘗試利用這些密碼，此舉會帶來一些安全問題。此外，一旦被暴露者的登錄信息在這些平臺上沒有受到雙因素身份驗證的保護，“惡意”管理員就可以輕易接管用戶的賬戶。

除了“惡意”管理員帶來的安全風險外，使用 AIOS 的網(wǎng)站還將面臨黑客入侵的風險，這些黑客一旦獲得網(wǎng)站數(shù)據(jù)庫訪問權(quán)限，便有可能會以明文形式泄露用戶密碼。

1689565596_64b4b99c5c477911bdef9.png!small

截止到文章發(fā)布，WordPress.org 統(tǒng)計數(shù)據(jù)顯示大約四分之一的 AIOS 用戶已將更新應(yīng)用 5.2.0 版本，因此推算大概仍有超過 75 萬個網(wǎng)站處于易受攻擊狀態(tài)。

更不幸的是，WordPress 一直以來都是網(wǎng)絡(luò)攻擊者的攻擊目標，一些使用 AIOS 的網(wǎng)站可能已經(jīng)被泄露，再加上該安全問題已經(jīng)在網(wǎng)上傳播了三周多，且 Updraft 沒有警告用戶暴露風險的增加，因此，可能已經(jīng)發(fā)生了一些安全威脅事件。

最后，使用 AIOS 的網(wǎng)站應(yīng)該盡快更新到最新版本，并要求用戶重置密碼。

文章來源;https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/