תוסף וורדפרס הפופולרי בשם "תוסף WP SMTP קל" עם יותר ממאה אלף התקנות יעילות גילה סיכון, המאפשר לתוקף להשתלט על אתר. הבאג בתוסף וורדפרס זה מאפשר סייברפאנקים, התאם מחדש את סיסמת המנהל וקבל הרשאה מלאה לאתר.
הפגיעות שזוהתה נמצאת בקובץ יומן ניפוי הבאגים, שהוא פגיע עקב פגם מהותי מאוד באופן שבו התוסף מנהל תיקיה. תיקיית פלאגינים בשרת עם קבצים, לשמירה על ידי המשתמשים, שבדרך כלל מכילים קובץ index.html ריק. מטרת הקובץ הזה היא לעשות זאת, למנוע מישהו, נווט לתיקיה זו וראה את רשימת הקבצים בספרייה זו.
אם מישהו צופה ברשימת הקבצים הזו, ייתכן שהוא ניגש לקבצים האלה, מה הבעיה.
התיק, היכן קיים קובץ יומן ניפוי באגים, אינו מכיל קובץ index.html. על שרתים, כאשר רישומי אינדקס ספריות אינם מושבתים, כברירת מחדל, סלוב מרושע יכול לקבל גישה לקובץ הזה.
בראש ובראשונה, הם מקבלים את שם המשתמש ברמת המנהל מאתר וורדפרס. הם מנסים, לפרוץ בשיטות מוכרות.
לאחר מכן הם עוברים לדף הכניסה של וורדפרס ושולחים בקשה לאפס את סיסמת חשבון המנהל.
הם גם מקבלים גישה לקובצי יומן ניפוי הבאגים ומשחזרים את הקישור לאיפוס הסיסמה, נשלח על ידי אתר וורדפרס. כאשר אתה ניגש לקישור הזה, להיכנס אליו, לאפס את הסיסמה ולאחר מכן ליהנות מגישה מלאה לאתר.
תוסף פגיעות זה שומר על יומן שינויים, שמתעד את כל השינויים בכל עדכון. יש לקרוא את יומן השינויים, למשתמש לזהות, איזה עדכון נעשה.
כאשר מתגלה פגיעות, זה מה שמפתחי פלאגין מוצאים בדרך כלל, שהפגיעות תתוקן. זה נותן למפתח וורדפרס את המידע, שהוא צריך, לקבל החלטה מושכלת. יומן שינויים, ליידע את המו"ל על כך, שעדכון גורם לפגיעות אבטחה, מאפשר למוציא לאור, לקבל החלטה מושכלת לגבי עדכון הפלאגין, כדי למנוע התקפות האקרים.
זה מומלץ בחום, שכל משתמשי Easy WP SMTP Plugin ישדרגו לגרסה גבוהה יותר מהגרסה 1.4.2 לעדכן.