Компьютеры1 мин.

«Задето» больше 1 млн сайтов: плагин для WordPress-страниц держал пароли людей в открытом виде

Проблема вроде решена, а вроде и нет

© Ferra.ru / Kandinsky 2.2

В популярном плагине All-In-One Security (AIOS) для WordPress, установленном на более чем миллионе сайтов, обнаружена серьезная брешь в системе безопасности. Плагин записывает пароли в открытом виде при попытке входа в систему, что может привести к раскрытию учетных данных всех пользователей-администраторов для любого человека, имеющего доступ к базе данных.

О проблеме стало известно от пользователей, которые пожаловались на недостатки конструкции на форумах поддержки плагина. Разработчики плагина, команда Updraft, выпустили обновление (версия 5.2.0), устраняющее проблему и удаляющее занесенные в журнал пароли.

Однако некоторые пользователи сообщили, что обновление привело к ошибкам на сайте и даже не смогло удалить существующие журналы паролей.

Впоследствии было выпущено еще одно обновление (версия 5.2.1), но пользователи по-прежнему испытывали проблемы с сайтом.

Эксперты по безопасности подчеркивают важность сброса паролей, поскольку злоумышленники могут использовать записанные в журнал данные.

Источник:SecurityWeek