这个安装量超过一百万的WordPress插件存在重大安全漏洞
摘要 一个拥有超过一百万用户的WordPress网站构建器的流行插件被发现以明文形式存储用户密码,可供网站管理员随时阅读。ArsTechnica的一份报告发
一个拥有超过一百万用户的WordPress网站构建器的流行插件被发现以明文形式存储用户密码,可供网站管理员随时阅读。
ArsTechnica的一份报告发现,至少有100万个网站安装了名为All-In-One-Security(AIOS)的相关插件。
本周早些时候,其开发人员确认了该缺陷,称这是该插件5.1.9版本中的一个错误。现在已经有了5.2.0版本,建议用户立即更新插件。开发人员表示,除了阻止插件以明文形式保存用户密码之外,该补丁还“从数据库中删除有问题的数据”。
该公司的一名代表通过电子邮件向ArsTechnica表示,试图淡化这一缺陷,称这些密码仅供管理员使用。当管理员变得流氓(或者他们的帐户被盗/泄露)时,这就是一个大问题:“从这个缺陷中获得任何东西都需要使用最高级别的管理权限或同等权限登录。即它可以被流氓管理员利用,因为他是管理员,所以他已经可以做这样的事情,”电子邮件中写道。
但任何人都不应该有权访问任何人的密码。最终,黑客也可以尝试在其他平台和服务上使用这些密码。许多用户在众多服务中使用相同的登录凭据,破坏 一项可能意味着破坏许多服务。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。