Nelle scorse ore, Updraft ha provveduto a comunicare la presenza di una grave vulnerabilità nella versione 5.1.9 del suo All-In-One Security (AIOS), un noto plugin per WordPress, in base alla quale la password adoperata per il login viene memorizzata in chiaro nel database del CMS.
WordPress: password in chiaro con AIOS
Considerando il fatto che, stando alle più recenti statistiche, AIOS conta oltre un milione di installazioni, la falla è di una certa rilevanza, ma per fortuna risulta essere già stata corretta, con il rilascio della versione 5.2.0 dell’11 luglio.
Per chi non lo sapesse, il plugin offre svariate funzionalità di sicurezza, come la protezione contro bot e attacchi di forza bruta per impedire ai malintenzionati di scoprire le credenziali di login.
La segnalazione della falla è stata fatta settimane addietro da un utente che, adoperando la versione 5.1.9 del plugin, ha registrato i tentativi di login in una tabella del database e le password in chiaro. Un rappresentante della software house aveva risposto che il bug era noto e che sarebbe stato corretto in una prossima versione.
Effettivamente il correttivo è poi giunto successivamente, con il rilascio della nuova versione del plugin, la quale cancella altresì tutte le password già salvate. Al momento, AIOS 5.2.x è stato installato sul 27,6% dei siti web.
Updraft ha spiegato che l’accesso alle password era possibile agli utenti con diritti di amministratore, sottolineando che i rischi sono minimi in quanto per accedere al database è necessario sfruttare altre vulnerabilità, ma si tratta di una giustificazione che, come facilmente deducibile, lascia il tempo che trova.