
効果的なインストール数が 10 万を超える「Easy WP SMTP Plugin」と呼ばれる人気の WordPress プラグインにリスクが発見されました, これにより、攻撃者がサイトを制御できるようになります. このWordPressプラグインのバグにより、サイバーパンクが可能になります, 管理者パスワードを再照合し、Webサイトの完全な認証を取得します.
特定された脆弱性はデバッグ ログ ファイルにあります, これは、プラグインがフォルダを管理する方法に非常に根本的な欠陥があるために脆弱です。. ファイルを含むサーバー上のプラグインフォルダー, ユーザーが保持する, 通常、空のindex.htmlファイルが含まれています. このファイルの目的はこれを行うことです, 誰かを防ぐために, そのフォルダに移動して、そのディレクトリ内のファイルのリストを確認します.
誰かがこのファイルのリストを見たら, 彼はこれらのファイルにアクセスしている可能性があります, 問題は何ですか.
フォルダ, このデバッグログファイルが存在する場所, index.htmlファイルが含まれていません. サーバー上, ディレクトリインデックスリストが無効になっていない場合, デフォルトでは、邪悪なslobがこのファイルにアクセスできます.
まず第一に、彼らはWordPressサイトから管理者レベルのユーザー名を取得します. 彼らはしよう, 既知の方法を使用してハックする.
次に、WordPressのログインページに移動し、管理者アカウントのパスワードをリセットするリクエストを送信します.
また、デバッグログファイルにアクセスし、パスワードリセットリンクを復元します, WordPressサイトから送信. このリンクにアクセスすると, それを入力してください, パスワードをリセットしてから、サイトへのフルアクセスをお楽しみください.
この脆弱性プラグインは変更ログを維持します, 各更新のすべての変更を記録します. 変更ログを読む必要があります, ユーザーが認識できるように, どの更新が行われますか.
脆弱性が発見されたとき, プラグイン開発者が通常見つけるものです, 脆弱性にパッチが適用されること. これにより、WordPress開発者に情報が提供されます, 彼が必要としていること, 情報に基づいた決定を下す. 変更ログ, 出版社にそれを知らせる, 更新によってセキュリティの脆弱性が発生すること, 出版社を許可します, プラグインの更新について十分な情報に基づいて決定する, ハッカーの攻撃を避けるため.
強くお勧めします, すべてのEasyWPSMTPプラグインユーザーがバージョンよりも高いバージョンにアップグレードすること 1.4.2 更新するには.