Популарниот приклучок за WordPress наречен „Easy WP SMTP Plugin“ со повеќе од сто илјади ефективни инсталации штотуку откри ризик, што му овозможува на напаѓачот да ја преземе контролата врз страницата. Грешката во овој приклучок на WordPress им овозможува на сајберпанкерите, повторете ја административната лозинка и добијте целосна овластување за веб-локација.
Die festgestellte Sicherheitsanfälligkeit befindet sich in der Debug-Protokolldatei, што е ранливо поради многу фундаментален недостаток во начинот на кој приклучокот управува со папка. Папка за приклучоци на серверот со датотеки, да бидат задржани од корисниците, кои обично содржат празна датотека index.html. Целта на оваа датотека е да го направи тоа, да спречи некој, одете до таа папка и видете ја листата на датотеки во тој директориум.
Ако некој ја гледа оваа листа на датотеки, тој може да пристапува до овие датотеки, што е проблемот.
Папката, каде што постои оваа датотека за евиденција за отстранување грешки, не содржи датотека index.html. На сервери, каде списоците со индекси на директориуми не се оневозможени, Стандардно, злобниот slob може да добие пристап до оваа датотека.
Прво и основно, тие го добиваат корисничкото име на ниво на администратор од страницата на WordPress. тие се обидуваат, хакирање користејќи познати методи.
Потоа тие одат на страницата за најавување на WordPress и испраќаат барање за ресетирање на лозинката на администраторската сметка.
Тие, исто така, добиваат пристап до датотеките за евиденција за отстранување грешки и ја обновуваат врската за ресетирање лозинка, испратени од страната на WordPress. Кога ќе пристапите на оваа врска, внесете го, ресетирајте ја лозинката и потоа уживајте во целосен пристап до страницата.
Dieses Schwachstellen-Plug-In verwaltet ein Änderungsprotokoll, што ги евидентира сите промени во секое ажурирање. Дневникот за промени мора да се прочита, за корисникот да го препознае, кое ажурирање е направено.
Кога ќе се открие ранливост, е она што обично го наоѓаат развивачите на приклучоци, дека ранливоста ќе биде закрпена. Ова му дава информации на развивачот на WordPress, што му треба, да донесе информирана одлука. Дневник за промени, информирање на издавачот за тоа, дека ажурирањето предизвикува безбедносна ранливост, му дозволува на издавачот, донесете информирана одлука за ажурирање на приклучокот, за да се избегнат хакерски напади.
Силно се препорачува, дека сите корисници на Easy WP SMTP Plugin го надградуваат на верзија повисока од верзијата 1.4.2 За ажурирање.