Реклама ООО Таймвэб
Реклама ООО Таймвэб
Реклама ООО Таймвэб

В очередном WordPress-плагине обнаружили критическую уязвимость

1 комментарий
В очередном WordPress-плагине обнаружили критическую уязвимость

В плагине Easy WP SMTP обнаружили уязвимость нулевого дня, с помощью которой злоумышленники могли сбросить пароль администратора, не проходя аутентификацию в панели управления сайтом.

Плагином пользуются более 500 тысяч человек. Всем пользователям Easy WP SMTP следует как можно скорее обновиться до последней версии плагина.

Проблема в том, что Easy WP SMTP сохраняет журнал для дебаггинга прямо в папке, где установлено расширение. В него попадают и электронные письма, отправленные блогом пользователя. Этот журнал выглядит как обычный текстовый файл с произвольным названием, то есть он не зашифрован и никак не защищен от любопытных глаз извне. С помощью REST API в нем можно отыскать имя администратора WordPress.

Используя обнаруженные данные, взломщик может запросить сброс пароля. Сайт отправит по почте соответствующую ссылку. Так как у хакера есть доступ ко всем входящим письмам через журнал для деббагинга, он может выудить оттуда ссылку для сброса пароля. Дальше дело техники – злоумышленник ставит свой пароль и получает полный контроль над ресурсом.

Чтобы обезопасить себя от подобных атак, рекомендуется обновить плагин или отключить журнал, собирающий сведения об ошибках (и электронные письма).

Если человек настраивает сервер, это не новость; новость – если сервер настраивает человека.
Новый подкаст от Timeweb

Комментарии

Гамлиэль Фишкин +121
02 апр в 16:44
«Чтобы обезопасить себя от подобных атак, рекомендуется обновить плагин или отключить журнал, собирающий сведения об ошибках (и электронные письма)» — А лучше не использовать WordPress и другие подобные игрушки, а делать сайт руками.
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
С помощью соцсетей
У меня уже есть аккаунт Войти
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте