Vinsælt WordPress viðbót sem heitir „Easy WP SMTP Plugin“ með meira en hundrað þúsund árangursríkum uppsetningum uppgötvaði bara hættu, sem gerir árásarmanni kleift að ná stjórn á vefsvæði. Villan í þessari WordPress viðbót leyfir netpönkum, passaðu aftur stjórnanda lykilorðið og fáðu fulla heimild fyrir vefsíðu.
Tilgreind varnarleysi er í villuleitarskránni, sem er viðkvæmt vegna mjög grundvallargalla í því hvernig viðbótin heldur utan um möppu. Viðbætur mappa á þjóninum með skrám, til að varðveita af notendum, sem venjulega innihalda tóma index.html skrá. Tilgangur þessarar skráar er að gera þetta, að koma í veg fyrir einhvern, flettu í þá möppu og sjáðu lista yfir skrár í þeirri möppu.
Ef einhver horfir á þennan lista yfir skrár, hann gæti verið að nálgast þessar skrár, hvert vandamálið er.
Mappan, þar sem þessi villuleitarskrá er til, inniheldur ekki index.html skrá. Á netþjónum, þar sem skráningarskrár eru ekki óvirkar, Sjálfgefið er að illt skvísa getur fengið aðgang að þessari skrá.
Fyrst og fremst fá þeir notandanafnið á stjórnandastigi frá WordPress síðunni. þeir reyna, hakk með þekktum aðferðum.
Síðan fara þeir á WordPress innskráningarsíðuna og senda beiðni um að endurstilla lykilorð stjórnandareikningsins.
Þeir fá einnig aðgang að villuleitarskrám og endurheimta hlekkinn fyrir endurstillingu lykilorðs, sent af WordPress síðunni. Þegar þú opnar þennan hlekk, sláðu það inn, endurstilltu lykilorðið og njóttu síðan fulls aðgangs að síðunni.
Þessi veikleikaviðbót heldur úti breytingaskrá, sem skráir allar breytingar í hverri uppfærslu. Lesa verður breytingaskrána, fyrir notanda að þekkja, hvaða uppfærsla er gerð.
Þegar varnarleysi uppgötvast, er það sem forritarar viðbætur finna venjulega, að varnarleysið verði lagfært. Þetta gefur WordPress verktaki upplýsingarnar, sem hann þarf, að taka upplýsta ákvörðun. Breytingaskrá, upplýsa útgefanda um það, að uppfærsla valdi öryggisveikleika, leyfir útgefanda, taka upplýsta ákvörðun um uppfærslu á viðbótinni, til að forðast tölvuþrjótaárásir.
Það er eindregið mælt með því, að allir Easy WP SMTP Plugin notendur uppfæra í hærri útgáfu en útgáfu 1.4.2 Að uppfæra.