U popular plugin WordPress chjamatu "Easy WP SMTP Plugin" cù più di centu mila installazioni efficaci hà scupertu un risicu., chì permette à un attaccante di piglià u cuntrollu di un situ. U bug in stu plugin WordPress permette cyberpunks, Rematch a password di l'amministratore è uttene l'autorizazione completa di un situ web.
A vulnerabilità identificata hè in u schedariu di log di debug, chì hè vulnerabile per via di un difettu assai fundamentale in cumu u plug-in gestisce un cartulare. Plugins cartulare nant'à u servitore cù i schedari, per esse ritenutu da l'utilizatori, chì di solitu cuntenenu un schedariu index.html viotu. U scopu di stu schedariu hè di fà questu, per impedisce à qualchissia, navigate à quellu cartulare è vede a lista di i schedari in quellu cartulare.
Se qualchissia vede sta lista di schedari, pò esse accede à questi schedari, quale hè u prublema.
U cartulare, induve stu schedariu di log di debug esiste, ùn cuntene micca un schedariu index.html. Nantu à i servitori, induve l'indici di u repertoriu ùn sò micca disattivati, Per automaticamente, un slob male pò accede à stu schedariu.
Prima di tuttu, ricevenu u nome d'utilizatore à livellu di amministratore da u situ di WordPress. provanu, pirate cù metudi cunnisciuti.
Allora andanu à a pagina di login di WordPress è mandanu una dumanda per resettate a password di u contu amministratore.
Anu ancu accede à i schedarii di log di debug è restaurà u ligame di resettore di password, mandatu da u situ di WordPress. Quandu accede à stu ligame, entre lu, resettate a password è dopu gode un accessu cumpletu à u situ.
Stu plugin di vulnerabilità mantene un log di cambiamentu, chì registra tutti i cambiamenti in ogni aghjurnamentu. U changelog deve esse lettu, per un utilizatore per ricunnosce, quale aghjurnamentu hè fattu.
Quandu una vulnerabilità hè scuperta, hè ciò chì i sviluppatori di plug-in di solitu trovanu, chì a vulnerabilità serà patched. Questu dà u sviluppatore di WordPress l'infurmazioni, ch'ellu hà bisognu, per piglià una decisione infurmata. Un log di cambiamentu, informà un editore nantu à questu, chì un aghjurnamentu provoca una vulnerabilità di sicurità, permette à l'editore, piglià una decisione infurmata nantu à l'aghjurnamentu di u plug-in, per evità attacchi di pirate.
Hè fortemente cunsigliatu, chì tutti l'utilizatori di Easy WP SMTP Plugin aghjurnanu à una versione più altu di a versione 1.4.2 Per aghjurnà.