Categories
Noticias

Vulnerabilidad de complemento SMTP de WPPRPRESS

Popular plugin de WordPress Plugin Easy WP SMTP, con más de 500,000 instalaciones activas, solo parche una vulnerabilidad que le permite a un atacante tomar el control de un sitio. La falla en el complemento de WordPress permite a los hackers reiniciar la contraseña de administrador y tomar un control completo de un sitio web.

Vulnerabilidad SMTP de WP fácil

La vulnerabilidad está en un archivo de registro de depuración que está expuesto debido a Un error muy básico en la forma en que el plugin mantuvo una carpeta. Las carpetas de plugin en un servidor que contienen archivos que no están destinados a ser visto por los usuarios generalmente contienen un archivo índice.html en blanco. El propósito de ese archivo es evitar que alguien navegue en esa carpeta y descubra una lista de archivos dentro de esa carpeta.

Si alguien puede ver la lista de archivos, entonces pueden acceder a esas filas.Es, que es el caso.

La carpeta donde existe el archivo de registro de depuración no tiene un archivo index.html. Así que en los servidores donde los listados de índice de directorios no están deshabilitados de forma predeterminada, un hacker malicioso puede acceder a ese archivo.

Lo que hacen es lo primero es obtener un nombre de usuario de nivel de administrador del sitio de WordPress que intenta hackear Métodos conocidos.

Luego acceden a la página de inicio de sesión de WordPress y envíe un restablecimiento de contraseña para la cuenta de administrador.

Finalmente, acceden al archivo de registro de depuración y recuperan un registro del enlace de restablecimiento de contraseña que el Sitio de WordPress enviado. Una vez que recuperan ese enlace, pueden ingresarlo, restablecer la contraseña y luego disfrutar de acceso completo al sitio de WordPress.

AnunciCementContinue Lectura a continuación

Problema de la carpeta Documentado en Changelog

El complemento Easy WP SMTP Vulnerabilidad mantiene lo que se llama un idioma de cambios que documenta todos los cambios dentro de cada actualización. Se debe leer el registro de cambios para que un usuario pueda entender lo que está cambiando una actualización.

Normalmente, cuando se está parche una vulnerabilidad, los desarrolladores de plugin notarán que se está parcheando una vulnerabilidad. Esto le da al editor de WordPress la información que necesitan para tomar una decisión informada sobre si actualizar o no para actualizar un complemento o esperar.

Un Changelog que informa a un editor que una actualización está enchufando una vulnerabilidad permite que el editor haga ese editor Una decisión informada de actualizar el complemento para evitar ser hackeado.

Eloge solo WP SMTP Changelog

solo dice que están insertando un archivo index.html en un pliegueEr para evitar que alguien lo navegue. Eso debería ser lo suficientemente advertencia como para que esta sea una actualización importante, pero solo si el editor entiende que a escondidas en la carpeta es peligrosa.

Screenshot of Easy WP SMTP Changelog

Screenshot of Easy WP SMTP Changelog

Actualizar el plugin inmediatamente Detalles completos y la descripción de esta vulnerabilidad está disponible en el Blog de NinteChnet . AnunciCementContinue Lectura a continuación Se recomienda encarecidamente que todos los usuarios del Easy WP SMTP Actualización de plugin a una versión más alta que la versión 1.4.2.

Leave a Reply

Your email address will not be published. Required fields are marked *