Création de sites web &
Création de site web
Liste de contrôle

    • Blog
    • info@onmascout.de
    • +49 8231 9595990
    WhatsApp
    Skype

    BLOG

    Responsabilité facile du plug-in SMTP WP de WordPress

    Homepage-Design à Nuremberg

    Le plugin WordPress populaire appelé "Easy WP SMTP Plugin" avec plus de cent mille installations effectives vient de découvrir un risque, avec lequel un attaquant peut prendre le contrôle d'un site. Le bug dans ce plugin WordPress permet aux Cyberpunks, Réinitialisez le mot de passe administrateur et obtenez l'autorisation complète pour un site Web.

    Vulnérabilité Easy WP SMTP

    La vulnérabilité identifiée se trouve dans le fichier journal de débogage, qui est vulnérable en raison d'un bug très fondamental dans la façon dont le plug-in gère un dossier. Dossier de plug-in sur le serveur avec les fichiers, à conserver par les utilisateurs, qui contiennent généralement un fichier index.html vide. Le but de ce fichier est, empêcher quelqu'un de le faire, accédez à ce dossier et voyez la liste des fichiers dans ce répertoire.

    Si quelqu'un regarde cette liste de fichiers, il peut accéder à ces fichiers, quel est le problème.

    Le dossier, dans lequel ce fichier journal de débogage est présent, ne contient pas de fichier index.html. Sur les serveurs, sur lequel les listes d'index de répertoire ne sont pas désactivées, un mauvais cagnard peut accéder à ce fichier par défaut.

    Tout d'abord, ils obtiennent le nom d'utilisateur de niveau administrateur sur le site WordPress. ils essaient, pirater en utilisant des méthodes connues.

    Ensuite, ils se rendent sur la page de connexion WordPress et envoient une demande de réinitialisation du mot de passe du compte administrateur.

    Ils ont également accès aux fichiers journaux de débogage et restaurent le lien pour réinitialiser le mot de passe, que le site WordPress a envoyé. Quand ils reçoivent ce lien, entrez-le, réinitialiser le mot de passe puis profiter d'un accès complet au site.

    Problème de dossier documenté dans le journal des modifications

    Ce plugin de vulnérabilité maintient un journal des modifications, qui enregistre tous les changements dans chaque mise à jour. Le journal des modifications doit être lu, afin qu'un utilisateur puisse reconnaître, quelle mise à jour sera faite.

    Lorsqu'une vulnérabilité est découverte, c'est ce que les développeurs de plug-ins découvrent généralement, que la vulnérabilité sera corrigée. Cela donne au développeur WordPress les informations, dont il a besoin, prendre une décision éclairée. Un journal des modifications, qui en informe un éditeur, qu'une mise à jour provoque une vulnérabilité, permet à l'éditeur, Prendre une décision éclairée concernant la mise à niveau du plug-in, pour éviter les attaques de pirates.

    Il est fortement recommandé, que tous les utilisateurs du plug-in SMTP Easy WP sont mis à niveau vers une version supérieure à la version 1.4.2 Mettre à jour.

    Notre vidéo
    INFORMATIONS DE CONTACT