El complemento All-In-One Security (AIOS), instalado en más de un millón de sitios de WordPress, ha lanzado una actualización de seguridad después de que un error introducido en la versión 5.1.9 del software causara que las contraseñas de los usuarios se agregaran a la base de datos en formato de texto sin formato. "Un administrador malicioso del sitio (es decir, un usuario que ya haya iniciado sesión en el sitio como administrador) podría haberlas leído", dijo UpdraftPlus, los mantenedores de AIOS.
"Esto sería un problema si esos administradores del sitio intentaran usar esas contraseñas en otros servicios donde sus usuarios podrían haber utilizado la misma contraseña. Si los inicios de sesión de esos otros servicios no están protegidos por autenticación de dos factores, esto podría representar un riesgo para el sitio web afectado".
El problema salió a la luz hace casi tres semanas cuando un usuario del complemento informó sobre el comportamiento, declarando que estaba "absolutamente sorprendido de que un complemento de seguridad esté cometiendo un error tan básico de seguridad 101". AIOS también señaló que las actualizaciones eliminan los datos ya registrados de la base de datos, pero enfatizó que la explotación exitosa requiere que un actor de amenazas ya haya comprometido un sitio de WordPress de otras maneras y tenga privilegios administrativos, o haya obtenido acceso no autorizado a copias de seguridad del sitio sin cifrar.
"Como tal, las oportunidades para que alguien obtenga privilegios que no tenía previamente son pequeñas", dijo la compañía. "La versión parcheada impide que las contraseñas se registren y borra todas las contraseñas guardadas anteriormente". Como medida de precaución, se recomienda que los usuarios habiliten la autenticación de dos factores en WordPress y cambien las contraseñas, especialmente si se han utilizado las mismas combinaciones de credenciales en otros sitios.
Esta revelación se produce cuando Wordfence reveló una falla crítica que afecta al complemento de registro de usuarios de WPEverest (CVE-2023-3342, puntaje CVSS: 9.9), que tiene más de 60,000 instalaciones activas. La vulnerabilidad se ha solucionado en la versión 3.0.2.1.
"Esta vulnerabilidad permite que un atacante autenticado con permisos mínimos, como un suscriptor, cargue archivos arbitrarios, incluidos archivos PHP, y logre la ejecución remota de código en el servidor de un sitio vulnerable", dijo el investigador de Wordfence, István Márton.
¿Quieres saber más?