IT之家 7 月 14 日消息,All-In-One Security(AIOS)是一款熱門(mén)的 WordPress 網(wǎng)頁(yè)插件,目前全球有超過(guò) 100 萬(wàn)個(gè)站點(diǎn)使用。
圖源:Pixabay
AIOS 近日曝出安全漏洞,該插件以明文純文本形式記錄用戶密碼,站長(zhǎng)可以訪問(wèn)數(shù)據(jù)庫(kù)直接查看和提取這些密碼。
AIOS 今天發(fā)布了安全補(bǔ)丁,修復(fù)了上述安全漏洞。
AIOS 在授權(quán)過(guò)程中收集用戶密碼。根據(jù)開(kāi)發(fā)者的說(shuō)法,記錄明文密碼是由于今年 5 月發(fā)布的 AIOS 5.1.9 代碼中出現(xiàn)的軟件錯(cuò)誤所致。
開(kāi)發(fā)者本周發(fā)布了 AIOS 5.2.0,安裝后可修復(fù)寫(xiě)入密碼的問(wèn)題,會(huì)刪除之前添加到數(shù)據(jù)庫(kù)的數(shù)據(jù)。
AIOS 開(kāi)發(fā)人員的代表證實(shí)了這一點(diǎn),“您必須以頂級(jí)管理員權(quán)限登錄才能利用此 bug。”IT之家注:信息安全專家長(zhǎng)期以來(lái)一直不鼓勵(lì)網(wǎng)站管理員以明文形式存儲(chǔ)密碼。