Popularni WordPress dodatak pod nazivom “Easy WP SMTP Plugin” sa više od sto hiljada efektivnih instalacija upravo je otkrio rizik, koja omogućava napadaču da preuzme kontrolu nad web lokacijom. Greška u ovom WordPress dodatku dozvoljava sajberpankerima, ponovo podesiti administratorsku lozinku i dobiti potpunu autorizaciju web stranice.
Identificirana ranjivost se nalazi u datoteci dnevnika za otklanjanje grešaka, koji je ranjiv zbog vrlo fundamentalne greške u načinu na koji dodatak upravlja fasciklom. Fascikla Plugins na serveru sa fajlovima, da ga korisnici zadrže, koji obično sadrže praznu datoteku index.html. Svrha ovog fajla je da to uradi, spriječiti nekoga, idite do tog foldera i pogledajte listu datoteka u tom direktoriju.
Ako neko gleda ovu listu fajlova, možda pristupa ovim fajlovima, šta je problem.
Fascikla, gdje postoji ova datoteka dnevnika otklanjanja grešaka, ne sadrži datoteku index.html. Na serverima, gdje popisi indeksa direktorija nisu onemogućeni, Podrazumevano, zli ljigavac može dobiti pristup ovoj datoteci.
Prvo i najvažnije, oni dobijaju korisničko ime na nivou administratora sa WordPress stranice. oni pokušavaju, hakirati koristeći poznate metode.
Zatim odlaze na stranicu za prijavu na WordPress i šalju zahtjev za resetiranje lozinke administratorskog računa.
Oni također dobijaju pristup datotekama dnevnika za otklanjanje grešaka i vraćaju vezu za ponovno postavljanje lozinke, poslao WordPress stranica. Kada pristupite ovom linku, unesite ga, resetirajte lozinku, a zatim uživajte u punom pristupu stranici.
Ovaj dodatak za ranjivost održava dnevnik promjena, koji bilježi sve promjene u svakom ažuriranju. Dnevnik promjena se mora pročitati, da korisnik prepozna, koje ažuriranje je napravljeno.
Kada se otkrije ranjivost, je ono što programeri dodataka obično pronađu, da će ranjivost biti zakrpljena. Ovo daje informacije WordPress developeru, koje mu je potrebno, da donesem informisanu odluku. Dnevnik promjena, obavještavanje izdavača o tome, da ažuriranje uzrokuje sigurnosnu ranjivost, dozvoljava izdavaču, donijeti informiranu odluku o ažuriranju dodatka, kako biste izbjegli hakerske napade.
Toplo se preporučuje, da svi korisnici Easy WP SMTP Plugin-a nadograde na verziju višu od verzije 1.4.2 Ažurirati.