Le Plugin de sécurité WordPress All-in-One Security (AIOS) enregistre silencieusement les activités de connexion et les mots de passe des utilisateurs en clair. L'équipe du plugin a corrigé la faille après la divulgation publique de l'affaire. Comme le correctif est maintenant disponible, les administrateurs de WordPress doivent mettre à jour leurs sites Web immédiatement pour prévenir les menaces potentielles.
Le plugin WordPress AIOS stocke des mots de passe en clair
Selon certaines informations, l'équipe de développeurs à l'origine du plugin WordPress AIOS a publié une mise à jour importante qui corrige une grave faille de sécurité.
Selon leur avis, la vulnérabilité du plugin entraînait l'enregistrement des mots de passe des utilisateurs en clair dans la base de données de WordPress. Cette faille mettait gravement en péril la sécurité des sites Web WordPress si les administrateurs réutilisaient les mêmes mots de passe sur les comptes d'autres services sans authentification à deux facteurs.
AIOS – All-in-One Security – est un plugin de sécurité WordPress dédié qui protège les sites web des menaces de cybersécurité les plus courantes. Il s'agit notamment d'une protection contre le copywriting, d'une prévention contre les iFrames pour limiter le vol de contenu, d'un filtrage des spams dans les commentaires et d'un pare-feu d'application web.
Alors que le plugin se targue d'être extrêmement utile pour les sites Web, l'enregistrement flagrant des mots de passe en clair semble avoir manqué à l'objectif même du plugin.
La vulnérabilité a été rendue publique après qu'un utilisateur a signalé le problème via la section officielle d'assistance de WordPress. Comme le souligne la plainte, le plugin enregistre les tentatives de connexion de l'utilisateur à l'adresse aiowps_audit_log , les tentatives de connexion et de déconnexion, les échecs de connexion et les données les plus alarmantes – les mots de passe des utilisateurs – en clair, ce qui constitue une violation des normes de base en matière de sécurité.
En réponse, l'agent d'assistance a assuré à l'utilisateur qu'un correctif serait bientôt disponible, partageant même les versions de développement pour un correctif rapide. Néanmoins, étant donné la gravité du problème, la publication tardive du correctif a également inquiété de nombreux utilisateurs. Oliver Sild, PDG de Patchstack, a également souligné dans son tweet que la faille menaçait plus d'un million de sites Web.
Il y a plus d'un million d'installations actives. Jusqu'à présent, les développeurs n'ont même pas demandé aux utilisateurs de changer tous leurs mots de passe. En raison de l'échelle, nous verrons à 100 % des pirates récolter les informations d'identification dans les journaux des sites compromis qui exécutent (ou ont exécuté) ce plugin.
– Oliver Sild (@OliverSild) 12 juillet 2023
La vulnérabilité affectait la version 5.1.9 du plugin AIOS, et l'équipe a par la suite corrigé la faille avec la version 5.2.0 désormais disponible. Les développeurs ont également partagé les détails de la vulnérabilité sur le changelog de la page du plugin.
Puisque le correctif est maintenant disponible, tous les administrateurs de WordPress doivent mettre à jour leurs sites Web avec la dernière version pour éviter les menaces potentielles.
Fais-nous part de tes réflexions dans les commentaires.
