
Папулярны убудова WordPress пад назвай «Easy WP SMTP Plugin» з больш чым сотнямі тысяч эфектыўных усталёвак толькі што выявіў рызыку, што дазваляе зламысніку ўзяць пад кантроль сайт. Недахоп гэтага плагіна WordPress дазваляе Cyberpunks, пераналадзіць пароль адміністратара і атрымаць поўную аўтарызацыю для вэб-сайта.
Выяўленая ўразлівасць знаходзіцца ў файле журнала адладкі, які ўразлівы з-за вельмі асноўнага недахопу ў тым, як плагін кіруе тэчкай. Папка плагіна на серверы з файламі, якія будуць захоўвацца карыстальнікамі, якія звычайна ўтрымліваюць пусты файл index.html. Мэта гэтага файла -, перашкодзіць каму-н, перайдзіце ў гэтую тэчку і паглядзіце спіс файлаў у гэтым каталогу.
Калі хто праглядае гэты спіс файлаў, магчыма, ён мае доступ да гэтых файлаў, у чым праблема.
Папка, дзе існуе гэты файл часопіса адладкі, не ўтрымлівае файла index.html. На серверах, дзе спісы індэксаў каталогаў не адключаны, Па змаўчанні злы нетаматыйнік можа атрымаць доступ да гэтага файла.
Перш за ўсё, яны атрымліваюць імя карыстальніка на ўзроўні адміністратара з сайта WordPress. яны спрабуюць, ўзламаць вядомымі метадамі.
Затым яны пераходзяць на старонку ўваходу ў WordPress і адпраўляюць запыт на скід пароля ўліковага запісу адміністратара.
Яны таксама атрымліваюць доступ да файлаў часопіса адладкі і аднаўляюць спасылку для скіду пароля, адпраўлены сайтам WordPress. Пры доступе па гэтай спасылцы, увядзіце яго, скіньце пароль і атрымлівайце поўны доступ да сайта.
Гэты плагін уразлівасці вядзе журнал змяненняў, які запісвае ўсе змены ў кожным абнаўленні. Журнал змяненняў трэба прачытаць, для распазнання карыстальніка, якое абнаўленне зроблена.
Калі выяўляецца ўразлівасць, гэта тое, што звычайна знаходзяць распрацоўшчыкі плагінаў, што ўразлівасць будзе выпраўлена. Гэта дае распрацоўшчыку WordPress інфармацыю, што яму трэба, каб прыняць абгрунтаванае рашэнне. Журнал змяненняў, які паведамляе пра гэта выдаўцу, што абнаўленне выклікае ўразлівасць бяспекі, дазваляе выдавецтву, каб прыняць абгрунтаванае рашэнне аб абнаўленні плагіна, каб пазбегнуць хакерскіх нападаў.
Настойліва рэкамендуецца, каб усе карыстальнікі плагіна Easy WP SMTP абнавіліся да версіі вышэйшай за версію 1.4.2 абнаўленне.