Nacionalni CERT upozorio je kako Wordpress dodatak AIOS spremao prijave, odjave te neuspješne prijave korisnika uključujući unesene lozinke u plain text formatu.
AIOS odnosno punim imenom The All-In-One Security dodatak je koji korisnicima nudi vatrozid za web aplikacije, zaštitu sadržaja i sigurnosni alat za prijavu u WordPress stranice. Otkriveno je kako v5.1.9 tog alata bilježi spomenute podatke u nekriptiranom obliku. To je suprotno uobičajenoj praksi da se lozinke spremaju u kriptiranom obliku, tj. u obliku hash-a. U tom slučaju ni vlasnik servisa ne zna lozinke korisnika, a u slučaju curenja podataka lozinke napadaču nisu korisne prije dekripcije.
AIOS je izdao verziju 5.2.0 koja ispravlja ovu grešku i briše dosad spremljene lozinke.
Ovaj propust je mogao biti koban za korisnike u slučaju kad bi administratori stranica koje koriste ovaj dodatak pokušali iskoristiti prikupljene lozinke za prijavu u druge sustave ili u slučaju kad bi stranicu kompromitirao zlonamjerni akter.
Onima koji administriraju stranicu koja koristi AIOS dodatak, savjetje se ažuriranje na najnoviju verziju kako bi zaštitili sebe i svoje korisnike.
