«Задето» больше 1 млн сайтов: плагин для WordPress-страниц держал пароли людей в открытом виде
Проблема вроде решена, а вроде и нетВ популярном плагине All-In-One Security (AIOS) для WordPress, установленном на более чем миллионе сайтов, обнаружена серьезная брешь в системе безопасности. Плагин записывает пароли в открытом виде при попытке входа в систему, что может привести к раскрытию учетных данных всех пользователей-администраторов для любого человека, имеющего доступ к базе данных.
© Ferra.ru / Kandinsky 2.2
О проблеме стало известно от пользователей, которые пожаловались на недостатки конструкции на форумах поддержки плагина. Разработчики плагина, команда Updraft, выпустили обновление (версия 5.2.0), устраняющее проблему и удаляющее занесенные в журнал пароли.
Однако некоторые пользователи сообщили, что обновление привело к ошибкам на сайте и даже не смогло удалить существующие журналы паролей.
Впоследствии было выпущено еще одно обновление (версия 5.2.1), но пользователи по-прежнему испытывали проблемы с сайтом.
Эксперты по безопасности подчеркивают важность сброса паролей, поскольку злоумышленники могут использовать записанные в журнал данные.
Источник:SecurityWeek
Автор:Максим Многословный