{"id":283806,"date":"2023-07-14T16:05:42","date_gmt":"2023-07-14T14:05:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283806"},"modified":"2023-07-15T14:54:22","modified_gmt":"2023-07-15T12:54:22","slug":"wordpress-plugin-all-in-one-security-aios-5-1-9-mit-schwerer-sicherheitslcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/14\/wordpress-plugin-all-in-one-security-aios-5-1-9-mit-schwerer-sicherheitslcke\/","title":{"rendered":"WordPress-Plugin All-In-One Security (AIOS) 5.1.9 mit schwerer Sicherheitsl&uuml;cke"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\" alt=\"\" width=\"64\" height=\"64\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/07\/15\/wordpress-plugin-all-in-one-security-aios-5-1-9-with-severe-vulnerability\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Nutzer von WordPress, die as Plugin All-In-One Security (AIOS) noch in der Version 5.1.9 einsetzen, sollten umgehend reagieren. Der Maintainer UpdraftPlus hat eine Sicherheitsmeldung herausgegeben, weil das Plugin Passw\u00f6rter f\u00fcr Benutzeranmeldungen im Klartext in der Datenbank ablegte.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/d3cda7f75bc2437db7ad775043a5cfbc\" alt=\"\" width=\"1\" height=\"1\" \/>In der Sicherheitsmeldung vom 13. Juli 2023 <a href=\"https:\/\/aiosplugin.com\/all-in-one-security-aios-wordpress-security-plugin-release-5-2-0\/\" target=\"_blank\" rel=\"noopener\">schreibt UpdraftPlus<\/a>, dass im Plugin AIOS Version 5.2.0 und neuer einen Fehler in Version 5.1.9 behoben wurde. Der Fehler f\u00fchrte dazu, dass die Passw\u00f6rter der Benutzer im Klartext zur WordPress-Datenbank hinzugef\u00fcgt wurden. Ein b\u00f6swilliger Website-Administrator (d. h. ein Benutzer, der bereits als Administrator auf der Website angemeldet ist) h\u00e4tte diese Passw\u00f6rter dann lesen k\u00f6nnen.<\/p>\n<p>Dies wird zum Problem, wenn diese Website-Administratoren diese Passw\u00f6rter bei anderen Diensten ausprobieren, bei denen Ihre Benutzer das gleiche Passwort verwendet haben k\u00f6nnten. Wenn die Anmeldungen bei diesen anderen Diensten nicht durch eine Zwei-Faktor-Authentifizierung gesch\u00fctzt sind, k\u00f6nnte dies ein Risiko f\u00fcr die betroffene Website darstellen.<\/p>\n<p>Nachdem das Problem gemeldet wurde, hat der Entwickler dieses nicht nur ab der Version 5.2.0 behoben. Sondern diese Updates entfernen auch die vorhandenen protokollierten Daten, so dass sie nach einem Update nicht mehr vorhanden sind. Die Information kam vor knapp 3 Wochen von einem Nutzer, der den Bug <a href=\"https:\/\/wordpress.org\/support\/topic\/cleartext-passwords-written-to-aiowps_audit_log\/\" target=\"_blank\" rel=\"noopener\">im Forum meldete<\/a> und schrieb:<\/p>\n<blockquote><p>I was absolutely<em> shocked <\/em>that a security plugin is making such a basic security 101 error (not to mention being out of compliance with NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR, \u2026.)<\/p><\/blockquote>\n<p>Es ist erneut ein Beispiel, das mir zeigt, dass es sicherheitstechnisch hilfreich ist, m\u00f6glichst wenige Plugins zu verwenden, diese immer aktuell zu halten und ggf. auch auf die Anmeldung von Nutzern zu verzichten. Das verhindert die Ausnutzung von Schwachstellen in WordPress, die durch angemeldete Nutzer erfolgen k\u00f6nnen &#8211; wie The Hacker News <a href=\"https:\/\/thehackernews.com\/2023\/07\/aios-wordpress-plugin-faces-backlash.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> skizziert.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nutzer von WordPress, die as Plugin All-In-One Security (AIOS) noch in der Version 5.1.9 einsetzen, sollten umgehend reagieren. Der Maintainer UpdraftPlus hat eine Sicherheitsmeldung herausgegeben, weil das Plugin Passw\u00f6rter f\u00fcr Benutzeranmeldungen im Klartext in der Datenbank ablegte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-283806","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283806","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283806"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283806\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}