Das auf mehr als 1 Millionen WordPress-Seiten installierte Plug-in AIOS hat Passwörter von Benutzern im Klartext gespeichert
Eigentlich speichert WordPress einen sogenannten “salted Hash” von Passwörtern, der es zumeist unlukrativ macht diese lesbar zu machen (zu viel Zeit und Rechenleistung), dann installiert man sich eine Sicherheitslösung, die All-In-One Security (AIOS) heißt und es kommt heraus: die Sicherheitslösung ist selbst unsicher. Der Entwickler des auf mehr als einer Million Webseiten installierten WordPress Plug-ins hat den Fehler behoben, der dazu führte, dass das Plug-in Passwörter von Benutzern im Klartext protokollierte und in die Datenbank schrieb. Infolgedessen können Leute mit Zugriff auf die Datenbank betroffener Webseiten, die noch eine ältere Version dieses Plug-in installiert haben, die Passwörter ihrer Nutzer einsehen.
Entstanden sei das Problem erst mit der vorherigen Version 5.1.9, die am 9. Mai 2023 erschien. Dies sei insbesondere dann ein Problem, wenn böswillige “Website-Administratoren diese Passwörter bei anderen Diensten ausprobieren würden, bei denen Ihre Benutzer möglicherweise das gleiche Passwort verwendet haben”, so der Entwickler in einem gestern veröffentlichten Blogbeitrag zu dem AIOS-Update auf Version 5.2.0.
Da viele Nutzer für diverse Online-Dienste die gleichen Zugangsdaten verwenden, ist der Anreiz für Cyberkriminelle, eine der betroffenen Webseiten zu infiltrieren, entsprechend hoch, daher empfiehlt sich dringend eine Aktualisierung.
Comments are closed