Wszystkie artykuły Poprzedni Następny

WordPress: Easy WP SMTP - krytyczny błąd w pluginie

Krytyczny błąd (zero-day) we wtyczce Easy WP SMTP w wersji 1.3.9

kod strony wordpress

Wtyczka obecnie ma 300 000 aktywnych instalacji. Easy WP SMTP pozwala użytkownikom wysyłać wychodzące email'e przez serwer SMTP co ma pomóc przed wylądowaniem w spamie. Odkryty błąd pozwala hackerom na nieautoryzowany dostęp do strony przy użyciu tej wtyczki. 

Wszyscy aktywnie używający z tej wtyczki powinni jak najszybciej zrobić update do wersji 1.3.9.1. Update pomoże w uniemożliwieniu atakującym dostępu i możliwości zmian na stronie. 

Potencjalny atak

Atak jest możliwy bez posiadania żadnych specjalnych pozwoleń. Mechanizm importu/eksportu umożliwia hackerom na zaimportowanie plików z listą opcji zmieniających wp-options. Możliwe jest wykorzystanie PHP Object Injection, ale i wystarczające jest zwykłe nadpisanie tabel wp-options umożliwiające na zmianę ról, zarejestrowanych użytkowników itd.

Co należy zrobić?

Należy: - Update'ować plugin z wersji 1.3.9 do 1.3.9.1 - Zmienić hasło do konta WordPress admin - Zmienić hasło do SMTP - Zrobić skan bazy danych i plików WordPressa

Zobacz wszystkie artykuły

Jeśli potrzebujesz pomocy, twoja strona została zainfekowana, chcesz dokonać audytu bezpieczeństwa, czy po prostu masz jakieś pytania — napisz do nas. Postaramy się pomóc.

Zgłoś błąd w tekście
×