被称为“Easy WP SMTP 插件”的流行 WordPress 插件,拥有超过十万次有效安装,刚刚发现了一个风险, 攻击者可以借此控制站点. 此WordPress插件中的错误启用了Cyberpunks, 重新调整管理员密码并获得网站的完全授权.
已识别的漏洞位于调试日志文件中, 由于该插件如何管理文件夹中的一个非常根本的缺陷,因此很容易受到攻击. 服务器上带有文件的插件文件夹, 由用户保留, 通常包含一个空的index.html文件. 该文件的目的是, 防止某人这样做, 导航到该文件夹,然后查看该目录中的文件列表.
如果有人在观看此文件列表, 他可能正在访问这些文件, 问题是什么.
文件夹, 该调试日志文件所在的位置, 不包含index.html文件. 在服务器上, 不禁用目录索引列表的目录, 默认情况下,不好的躲闪者可以访问此文件.
首先,他们从WordPress网站获取管理员级别的用户名. 他们正在尝试, 使用已知方法破解.
然后他们进入WordPress登录页面并发送请求以重置管理员帐户的密码.
他们还可以访问调试日志文件并恢复链接以重置密码。, WordPress网站发送的. 当他们获得此链接时, 输入它, 重置密码,然后享受对该网站的完全访问权限.
该漏洞插件维护变更日志, 记录每次更新中的所有更改. 更改日志必须阅读, 以便用户可以识别, 将进行哪个更新.
发现漏洞时, 插件开发人员通常会发现什么, 该漏洞将被修补. 这为WordPress开发人员提供了信息, 他需要的, 做出明智的决定. 变更日志, 通知发布者, 更新导致漏洞, 使发布者, 做出有关升级插件的明智决定, 避免黑客攻击.
强烈推荐, Easy WP SMTP插件的所有用户都已升级到高于的版本 1.4.2 更新.
一个高质量的网站是由专业人士计划, 由专家制定和实施专家. 真到这个座右铭,我们在ONMA侦察与最好的最好的. 你可以期待一个全面的代理服务, 顶部的条件和我们的网页设计师的高超性能, 让程序员和Web开发人员.