• 發布單位:TWCERT/CC
• 更新日期:2023-07-18
• 點閱次數:7806

一個名為 All-in-One Security（AIOS）的 WordPress 資安防護外掛程式，近日遭到用戶發現，其運作方式以明文方式來儲存用戶輸入的密碼，而未經加密儲存；這可能導致使用者的資安曝於風險之下。

All-in-One Security（AIOS）是由軟體開發廠商 Updraft 開發的 WordPress 網站專用資安防護外掛程式，可以提供 web application 的防火牆、內容防護、登入安全等額外的資安防護功能，以防殭屍網路機器人或暴力試誤法的攻擊。

約在三個多星期前，有位 All-in-One Security（AIOS）的使用者在 WordPress.org 的支援討論區中發文指出，他發現 All-in-One Security（AIOS）v5.19 不只會把使用者的登入記錄寫入到 aiowps_audit_log 這個用來記錄用戶登入、登出、登入失敗等事件的資料表中，更會以明文方式記錄用戶輸入的密碼。

該用戶在發文中也強調，這種做法已經明顯違反 NIST 800-63 3、ISO 27000、GDPR 等資安規範或法規。

All-in-One Security（AIOS）的開發廠商 Updraft 在看到相關貼文後，先是以該問題是一個已知的錯誤（a known bug）來回應，但並未立即承諾具體的修正時間和做法；雖然 Updraft 隨即提供開發中版本供使用者下載，但使用者回報指出新的開發版並未解決問題，也沒有刪除記錄在資料表中的密碼。

不過 Updraft 在 7 月 11 日時提供了新版的 All-in-One Security（AIOS）v5.2.0，自此版本起不再以明文儲存用戶輸入的密碼，同時會自資料表中刪除先前儲存的密碼。

建議 All-in-One Security（AIOS）的用戶應立即將該外掛程式升級至 V5.2.0 版。