Папулярны убудова WordPress пад назвай «Easy WP SMTP Plugin» з больш чым сотнямі тысяч эфектыўных усталёвак толькі што выявіў рызыку, mit dem ein Angreifer die Kontrolle über eine Site übernehmen kann. Der Fehler in diesem WordPress-Plug-In ermöglicht es Cyberpunks, das Administratorkennwort neu abzustimmen und die vollständige Autorisierung einer Website zu erhalten.
Die festgestellte Sicherheitsanfälligkeit befindet sich in der Debug-Protokolldatei, die aufgrund eines äußerst grundlegenden Fehlers bei der Verwaltung eines Ordners durch das Plug-In anfällig ist. Plug-in-Ordner auf dem Server mit Dateien, die von Benutzern aufbewahrt werden sollen, die normalerweise eine leere Datei index.html enthalten. Der Zweck dieser Datei besteht darin, перашкодзіць каму-н, перайдзіце ў гэтую тэчку і паглядзіце спіс файлаў у гэтым каталогу.
Калі хто праглядае гэты спіс файлаў, магчыма, ён мае доступ да гэтых файлаў, у чым праблема.
Папка, дзе існуе гэты файл часопіса адладкі, не ўтрымлівае файла index.html. На серверах, дзе спісы індэксаў каталогаў не адключаны, Па змаўчанні злы нетаматыйнік можа атрымаць доступ да гэтага файла.
Перш за ўсё, яны атрымліваюць імя карыстальніка на ўзроўні адміністратара з сайта WordPress. яны спрабуюць, ўзламаць вядомымі метадамі.
Затым яны пераходзяць на старонку ўваходу ў WordPress і адпраўляюць запыт на скід пароля ўліковага запісу адміністратара.
Яны таксама атрымліваюць доступ да файлаў часопіса адладкі і аднаўляюць спасылку для скіду пароля, адпраўлены сайтам WordPress. Пры доступе па гэтай спасылцы, увядзіце яго, скіньце пароль і атрымлівайце поўны доступ да сайта.
Гэты плагін уразлівасці вядзе журнал змяненняў, які запісвае ўсе змены ў кожным абнаўленні. Журнал змяненняў трэба прачытаць, для распазнання карыстальніка, якое абнаўленне зроблена.
Калі выяўляецца ўразлівасць, гэта тое, што звычайна знаходзяць распрацоўшчыкі плагінаў, што ўразлівасць будзе выпраўлена. Гэта дае распрацоўшчыку WordPress інфармацыю, што яму трэба, каб прыняць абгрунтаванае рашэнне. Ein Änderungsprotokoll, das einen Publisher darüber informiert, dass ein Update eine Sicherheitsanfälligkeit verursacht, ermöglicht es dem Publisher, eine fundierte Entscheidung zum Aktualisieren des Plug-Ins zu treffen, um Hackerangriffe zu vermeiden.
Es wird dringend empfohlen, dass alle Benutzer des Easy WP SMTP-Plug-Ins auf eine höhere Version als Version 1.4.2 aktualisieren.