Et populært WordPress-plugin, AIOS, der er installeret på over en million websteder, har udsendt en sikkerhedsopdatering efter at have opdaget en fejl, der tillod brugeradgangskoder at blive gemt i almindelig tekstformat i databasen.
Dette betød, at en ondsindet webstedsadministrator kunne have læst adgangskoderne og potentielt brugt dem til at få adgang til andre tjenester, hvor brugerne måske havde brugt den samme adgangskode.
AIOS har fjernet de eksisterende loggede data fra databasen, men understreger, at en vellykket udnyttelse af fejlen kræver, at en trusselaktør allerede har kompromitteret et WordPress-websted på andre måder og har administrative privilegier eller uautoriseret adgang til ukrypterede sikkerhedskopier.
Brugere anbefales at aktivere to-faktor-godkendelse på WordPress og ændre deres adgangskode, især hvis de har brugt de samme legitimationsoplysninger på andre websteder.
I en lignende sikkerhedsrelateret nyhed har Wordfence afsløret en kritisk fejl i WPEverests brugerregistreringsplugin, der tillod en autentificeret hacker at uploade vilkårlige filer og udføre fjernkode på et sårbart websteds server.
Fejlen er blevet rettet i den nyeste version af pluginet.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund