超百萬(wàn)站點(diǎn)使用，WordPress 插件 AIOS 以明文記錄密碼：現(xiàn)已修復(fù)

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2023-07-14 19:15:48   瀏覽：44080次  

IT之家 7 月 14 日消息，All-In-One Security（AIOS）是一款熱門(mén)的 WordPress 網(wǎng)頁(yè)插件，目前全球有超過(guò) 100 萬(wàn)個(gè)站點(diǎn)使用。

圖源：Pixabay

AIOS 近日曝出安全漏洞，該插件以明文純文本形式記錄用戶密碼，站長(zhǎng)可以訪問(wèn)數(shù)據(jù)庫(kù)直接查看和提取這些密碼。

AIOS 今天發(fā)布了安全補(bǔ)丁，修復(fù)了上述安全漏洞。

AIOS 在授權(quán)過(guò)程中收集用戶密碼。根據(jù)開(kāi)發(fā)者的說(shuō)法，記錄明文密碼是由于今年 5 月發(fā)布的 AIOS 5.1.9 代碼中出現(xiàn)的軟件錯(cuò)誤所致。

開(kāi)發(fā)者本周發(fā)布了 AIOS 5.2.0，安裝后可修復(fù)寫(xiě)入密碼的問(wèn)題，會(huì)刪除之前添加到數(shù)據(jù)庫(kù)的數(shù)據(jù)。

AIOS 開(kāi)發(fā)人員的代表證實(shí)了這一點(diǎn)，“您必須以頂級(jí)管理員權(quán)限登錄才能利用此 bug。”IT之家注：信息安全專家長(zhǎng)期以來(lái)一直不鼓勵(lì)網(wǎng)站管理員以明文形式存儲(chǔ)密碼。

贊助本站