Ngày 14 tháng 7 năm 2023THNPassword Security / WordPress
All-In-One Security (AIOS), một plugin WordPress được cài đặt trên hơn một triệu trang web, đã phát hành bản cập nhật bảo mật sau khi một lỗi được đưa ra trong phiên bản 5.1.9 của phần mềm khiến mật khẩu của người dùng được thêm vào cơ sở dữ liệu ở định dạng văn bản gốc.
UpdraftPlus, người duy trì AIOS, cho biết: “Quản trị viên trang web độc hại (tức là người dùng đã đăng nhập vào trang web với tư cách quản trị viên) sau đó có thể đọc chúng”.
“Đây sẽ là một vấn đề nếu các quản trị viên trang đó thử các mật khẩu đó trên các dịch vụ khác mà người dùng của bạn có thể đã sử dụng cùng một mật khẩu. Nếu thông tin đăng nhập của các dịch vụ khác đó không được bảo vệ bằng xác thực hai yếu tố, thì đây có thể là một rủi ro đối với trang web bị ảnh hưởng.”
Vấn đề nổi lên gần ba tuần trước khi một người dùng plugin báo cáo hành vi này, nói rằng họ “hoàn toàn bị sốc khi một plugin bảo mật đang gây ra lỗi bảo mật cơ bản 101 như vậy.”
AIOS cũng lưu ý rằng các bản cập nhật sẽ xóa dữ liệu đã ghi hiện có khỏi cơ sở dữ liệu, nhưng nhấn mạnh rằng việc khai thác thành công yêu cầu tác nhân đe dọa đã xâm phạm trang web WordPress bằng các phương tiện khác và có đặc quyền quản trị hoặc có quyền truy cập trái phép vào các bản sao lưu trang web không được mã hóa.
“Như vậy, cơ hội để ai đó có được những đặc quyền mà họ chưa có là rất nhỏ”, công ty cho biết. “Phiên bản vá ngăn mật khẩu được ghi lại và xóa tất cả mật khẩu đã lưu trước đó.”
Để đề phòng, người dùng nên kích hoạt xác thực hai yếu tố trên WordPress và thay đổi mật khẩu, đặc biệt nếu các kết hợp thông tin xác thực tương tự đã được sử dụng trên các trang web khác.
Tiết lộ được đưa ra khi Wordfence tiết lộ một lỗ hổng nghiêm trọng ảnh hưởng đến plugin Đăng ký người dùng của WPEverest (CVE-2023-3342, điểm CVSS: 9,9) có hơn 60.000 lượt cài đặt đang hoạt động. Lỗ hổng đã được giải quyết trong phiên bản 3.0.2.1.
Nhà nghiên cứu István Márton của Wordfence cho biết: “Lỗ hổng này cho phép kẻ tấn công được xác thực với các quyền tối thiểu, chẳng hạn như người đăng ký, tải lên các tệp tùy ý, bao gồm tệp PHP và thực thi mã từ xa trên máy chủ của trang web dễ bị tổn thương”.
