Një tjetër çështje sigurie për një shtojcë WordPress. Updraft ka komunikuar praninë e një cenueshmërie serioze në versionin 5.1.9 të Sigurisë Gjithë-Në-Një (AIOS). Fjalëkalimi i përdorur për hyrje ruhet i pakriptuar në bazën e të dhënave CMS. Defekti u rregullua me lëshimin e 5.2.0 më 11 korrik.
Plugin e sigurisë pa siguri
Sipas statistikave më të fundit, Siguria Gjithçka-në-Një (AIOS) ka mbi një milion instalime. Plugin ofron disa veçori sigurie, të tilla si mbrojtja kundër robotëve dhe sulmet me forcë brutale për të parandaluar aktorët e këqij që të zbulojnë kredencialet tuaja të hyrjes.
Një përdorues raportoi (pothuajse tre javë më parë) se versioni 5.1.9 i AIOS regjistron përpjekjet për hyrje në një tabelë bazë të dhënash dhe fjalëkalimet në tekst të thjeshtë. Përveç standardeve të ndryshme të sigurisë, plugin nuk përputhet me GDPR (Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave). Një përfaqësues i shtëpisë së softuerit ishte përgjigjur se gabimi ishte i njohur dhe do të rregullohej në një version të ardhshëm.
Rregullimi mbërriti me AIOS 5.2.0 më 11 korrik (versioni i fundit është 5.2.1). Updraft shpjegon se aksesi në fjalëkalime ishte i mundur për përdoruesit me të drejta administratori, duke theksuar se rreziqet janë minimale pasi dobësitë e tjera duhet të shfrytëzohen për të hyrë në bazën e të dhënave. Megjithatë, ky është një justifikim qesharak, pasi fjalëkalimet nuk duhet të ruhen kurrë në tekst të qartë.
Versioni i ri i shtojcës rregullon gabimin dhe fshin të gjitha fjalëkalimet e ruajtura tashmë. Aktualisht, AIOS 5.2.x është instaluar vetëm në 27.6% të faqeve të internetit.
Discussion about this post