Das beliebte WordPress-Plug-In mit dem Namen „Easy WP SMTP-Plug-In“ mit mehr als hunderttausend effektiven Installationen hat gerade ein Risiko entdeckt, wat 'n aanvaller toelaat om beheer van 'n webwerf te neem. Die fout in hierdie WordPress-inprop laat cyberpunks toe, pas die administrateurwagwoord terug en kry volle magtiging van 'n webwerf.
Die festgestellte Sicherheitsanfälligkeit befindet sich in der Debug-Protokolldatei, wat kwesbaar is as gevolg van 'n baie fundamentele fout in hoe die inprop 'n gids bestuur. Inprop-lêergids op die bediener met lêers, deur gebruikers behou te word, wat gewoonlik 'n leë index.html-lêer bevat. Die doel van hierdie lêer is om dit te doen, om iemand te verhoed, navigeer na daardie gids en sien die lys van lêers in daardie gids.
As iemand hierdie lys lêers dophou, hy het dalk toegang tot hierdie lêers, wat die probleem is.
Die gids, waar hierdie ontfout-loglêer bestaan, bevat nie 'n index.html-lêer nie. Op bedieners, waar gids-indekslyste nie gedeaktiveer is nie, By verstek kan 'n bose slob toegang tot hierdie lêer kry.
In die eerste plek kry hulle die administrateur-vlak gebruikersnaam van die WordPress-werf. hulle probeer, hack met behulp van bekende metodes.
Dan gaan hulle na die WordPress-aanmeldbladsy en stuur 'n versoek om die administrateurrekeningwagwoord terug te stel.
Hulle kry ook toegang tot die ontfoutingsloglêers en herstel die wagwoordterugstelskakel, gestuur deur die WordPress-werf. Wanneer jy toegang tot hierdie skakel, voer dit in, stel die wagwoord terug en geniet dan volle toegang tot die webwerf.
Dieses Schwachstellen-Plug-In verwaltet ein Änderungsprotokoll, wat alle veranderinge in elke opdatering aanteken. Die veranderingslog moet gelees word, vir 'n gebruiker om te herken, watter opdatering gemaak word.
Wanneer 'n kwesbaarheid ontdek word, is wat inpropontwikkelaars gewoonlik vind, dat die kwesbaarheid reggemaak sal word. Dit gee die WordPress-ontwikkelaar die inligting, wat hy nodig het, om 'n ingeligte besluit te neem. 'n Veranderinglogboek, 'n uitgewer daaroor in te lig, dat 'n opdatering 'n sekuriteitskwesbaarheid veroorsaak, laat die uitgewer toe, neem 'n ingeligte besluit oor die opdatering van die inprop, om hacker-aanvalle te vermy.
Dit word sterk aanbeveel, dat alle Easy WP SMTP-inprop-gebruikers opgradeer na 'n weergawe hoër as weergawe 1.4.2 Om op te dateer.