Ennesimo problema di sicurezza per un plugin di WordPress. Updraft ha comunicato la presenza di una grave vulnerabilità nella versione 5.1.9 del suo All-In-One Security (AIOS). La password usata per il login viene memorizzata in chiaro nel database del CMS. Il bug è stato corretto con la versione 5.2.0 dell’11 luglio.
Plugin di sicurezza senza sicurezza
In base alle ultime statistiche, All-In-One Security (AIOS) ha oltre un milione di installazioni. Il plugin offre diverse funzionalità di sicurezza, come la protezione contro bot e attacchi di forza bruta per impedire ai malintenzionati di scoprire le credenziali di login.
Un utente ha segnalato (quasi tre settimane fa) che la versione 5.1.9 di AIOS registra i tentativi di login in una tabella del database e le password in chiaro. Oltre che vari standard di sicurezza, il plugin non rispetta il GDPR (Regolamento generale sulla protezione dei dati). Un rappresentante della software house aveva risposto che il bug era noto e che sarebbe stato corretto in una prossima versione.
Il fix è arrivato con AIOS 5.2.0 dell’11 luglio (l’ultima versione è 5.2.1). Updraft spiega che l’accesso alle password era possibile agli utenti con diritti di amministratore, evidenziando che i rischi sono minimi in quanto per accedere al database è necessario sfruttare altre vulnerabilità. Questa è tuttavia una giustificazione ridicola, visto che le password non devono mai essere memorizzate in chiaro.
La nuova versione del plugin risolve il bug e cancella tutte le password già salvate. Al momento, AIOS 5.2.x è stato installato solo sul 27,6% dei siti web.