Το δημοφιλές πρόσθετο WordPress με το όνομα "Easy WP SMTP Plugin" με περισσότερες από εκατοντάδες χιλιάδες αποτελεσματικές εγκαταστάσεις μόλις ανακάλυψε έναν κίνδυνο, που επιτρέπει σε έναν εισβολέα να πάρει τον έλεγχο ενός ιστότοπου. Το σφάλμα σε αυτήν την προσθήκη WordPress επιτρέπει τους κυβερνοπάνκ, αντιστοιχίστε ξανά τον κωδικό πρόσβασης διαχειριστή και λάβετε πλήρη εξουσιοδότηση για έναν ιστότοπο.
Die festgestellte Sicherheitsanfälligkeit befindet sich in der Debug-Protokolldatei, το οποίο είναι ευάλωτο λόγω ενός πολύ θεμελιώδους ελαττώματος στον τρόπο με τον οποίο η προσθήκη διαχειρίζεται έναν φάκελο. Φάκελος προσθηκών στο διακομιστή με αρχεία, να διατηρηθεί από τους χρήστες, που συνήθως περιέχουν ένα κενό αρχείο index.html. Ο σκοπός αυτού του αρχείου είναι να το κάνει αυτό, για να αποτρέψω κάποιον, μεταβείτε σε αυτόν τον φάκελο και δείτε τη λίστα των αρχείων σε αυτόν τον κατάλογο.
Αν κάποιος παρακολουθήσει αυτήν τη λίστα αρχείων, μπορεί να έχει πρόσβαση σε αυτά τα αρχεία, ποιο είναι το πρόβλημα.
Ο φάκελος, όπου υπάρχει αυτό το αρχείο καταγραφής εντοπισμού σφαλμάτων, δεν περιέχει αρχείο index.html. Σε διακομιστές, όπου οι λίστες ευρετηρίου καταλόγου δεν είναι απενεργοποιημένες, Από προεπιλογή, ένα κακό slob μπορεί να αποκτήσει πρόσβαση σε αυτό το αρχείο.
Πρώτα και κύρια, λαμβάνουν το όνομα χρήστη σε επίπεδο διαχειριστή από τον ιστότοπο WordPress. προσπαθούν, hack χρησιμοποιώντας γνωστές μεθόδους.
Στη συνέχεια, μεταβαίνουν στη σελίδα σύνδεσης του WordPress και στέλνουν αίτημα για επαναφορά του κωδικού πρόσβασης του λογαριασμού διαχειριστή.
Αποκτούν επίσης πρόσβαση στα αρχεία καταγραφής εντοπισμού σφαλμάτων και επαναφέρουν τον σύνδεσμο επαναφοράς κωδικού πρόσβασης, αποστέλλεται από τον ιστότοπο του WordPress. Όταν αποκτάτε πρόσβαση σε αυτόν τον σύνδεσμο, εισαγάγετε το, επαναφέρετε τον κωδικό πρόσβασης και, στη συνέχεια, απολαύστε πλήρη πρόσβαση στον ιστότοπο.
Dieses Schwachstellen-Plug-In verwaltet ein Änderungsprotokoll, που καταγράφει όλες τις αλλαγές σε κάθε ενημέρωση. Το αρχείο καταγραφής αλλαγών πρέπει να διαβαστεί, για να το αναγνωρίσει ο χρήστης, ποια ενημέρωση γίνεται.
Όταν ανακαλύπτεται μια ευπάθεια, είναι αυτό που συνήθως βρίσκουν οι προγραμματιστές plug-in, ότι η ευπάθεια θα διορθωθεί. Αυτό δίνει στον προγραμματιστή του WordPress τις πληροφορίες, που χρειάζεται, να λάβει τεκμηριωμένη απόφαση. Ένα αρχείο καταγραφής αλλαγών, ενημερώνοντας έναν εκδότη σχετικά, ότι μια ενημέρωση προκαλεί μια ευπάθεια ασφαλείας, επιτρέπει στον εκδότη, λάβετε μια τεκμηριωμένη απόφαση σχετικά με την ενημέρωση της προσθήκης, για την αποφυγή επιθέσεων χάκερ.
Συνιστάται ανεπιφύλακτα, ότι όλοι οι χρήστες του Easy WP SMTP Plugin αναβαθμίζουν σε έκδοση ανώτερη από την έκδοση 1.4.2 Για ενημέρωση.