Разработчики плагина All-In-One Security (AIOS), установленного более чем на миллионе сайтов, выпустил патч. Дело в том, что недавно пользователи обнаружили, что плагин запоминает пароли в формате простого текста и хранит их в БД, доступной для администраторов сайтов.

Иронично, но AIOS – это защитный плагин, разработанный для предотвращения кибератак, включая попытки брутфорса. Так, плагин предупреждает об использовании имени пользователя администратора по умолчанию для входа в систему, предотвращает атаки ботов, фиксирует активность пользователей и борется со спамом в комментариях.

Ошибку с сохранением паролей около трех недель назад обнаружили на форумах WordPress. Тогда пользователь, заметивший странное поведение плагина, выразил обеспокоенность тем, что его из-за этого организация не пройдет предстоящую проверку безопасности сторонними аудиторами. В тот же день представитель AIOS ответил ему, что «это известная ошибка в последнем релизе», а также предоставил скрипт, который должен был удалять сохраненные данные. Пользователь сообщил, что скрипт не работает.

Как выяснилось теперь, AIOS сохранял пароли автоматически, когда пользователи входили в систему, и БД с этими данными была свободно доступна администраторам сайтов. Разработчики объясняют, что это происходило в результате ошибки появившейся в мае текущего года, в версии 5.1.9. Версия 5.2.0, выпущенная на этой неделе, должна была исправить проблему, а также удалить собранные плагином данные.

Представители AIOS подчеркивают, что для эксплуатации этой уязвимости нужно было войти в систему с привилегиями администратора или эквивалентными. То есть багом мог воспользоваться лишь админ-злоумышленник, «который уже мог делать подобные вещи, потому что он — админ».

Стоит отметить, что даже после релиза AIOS 5.2.0 пользователи жаловались на то, что обновление «ломает» их сайты, но не удаляет ранее собранные пароли. Для решения этой проблемы был выпущен AIOS версии 5.2.1, но некоторые пользователи все еще утверждают, что их сайты по-прежнему не работают.

К тому же теперь сопровождающих AIOS критикуют ИБ-эксперты, заявляя, что они должны предупредить всех пострадавших пользователей о сохранявшихся паролях, чтобы люди могли сбросить свои учетные данные. Особенно это актуально с тех случаях, когда одни и те же логины и пароли использовались на нескольких сайтах.

Специалисты давно предупреждают, что нельзя хранить пароли в открытом виде, учитывая, что хакеры могут относительно легко взломать сайт и похитить хранящиеся в БД данные. В этом контексте сохранение незашифрованных паролей в любую базу данных — независимо от того, кто имеет к ней доступ — является серьезным нарушением безопасности.

Источник: xakep