Sommario
All-In-One Security (AIOS), un plugin di WordPress installato su oltre un milione di siti, ha rilasciato un aggiornamento di sicurezza dopo che un bug introdotto nella versione 5.1.9 del software ha causato l’aggiunta delle password degli utenti al database in formato testo. “Un amministratore di sito malevolo (cioè un utente già loggato nel sito come amministratore) avrebbe potuto leggerle”, ha dichiarato UpdraftPlus, i manutentori di AIOS.
Le implicazioni della vulnerabilità
Questo sarebbe un problema se gli amministratori del sito provassero a utilizzare queste password su altri servizi in cui i tuoi utenti potrebbero aver utilizzato la stessa password. Se i login di questi altri servizi non sono protetti da autenticazione a due fattori, ciò potrebbe rappresentare un rischio per il sito web interessato.
La scoperta del problema
Il problema è emerso quasi tre settimane fa quando un utente del plugin ha segnalato il comportamento, affermando di essere “assolutamente scioccato che un plugin di sicurezza stia commettendo un errore di sicurezza così basilare”. AIOS ha anche notato che gli aggiornamenti rimuovono i dati esistenti dal database, ma ha sottolineato che un’efficace sfruttamento richiede che un attore minaccioso abbia già compromesso un sito WordPress con altri mezzi e abbia privilegi amministrativi, o abbia ottenuto accesso non autorizzato a backup del sito non crittografati.
Le misure di sicurezza consigliate
Come precauzione, si consiglia agli utenti di abilitare l’autenticazione a due fattori su WordPress e di cambiare le password, in particolare se le stesse combinazioni di credenziali sono state utilizzate su altri siti. La divulgazione arriva mentre Wordfence ha rivelato un difetto critico che colpisce il plugin User Registration di WPEverest (CVE-2023-3342, punteggio CVSS: 9.9) che ha oltre 60.000 installazioni attive. La vulnerabilità è stata risolta nella versione 3.0.2.1.
