黑客正在使用安装在500多个流行的WordPress插件中的零日漏洞重置WordPress网站管理员帐户的密码,000个站点。
过去几周零日被用于攻击,并在周一进行修补。
它影响轻松的WP SMTP,一个插件,允许站点所有者为其网站的发送电子邮件配置SMTP设置。
据Ninja Technologies Network(NinTechNet)的团队称,Easy WP SMTP 1.4.2和旧版本的插件包含为站点发送的所有电子邮件创建调试日志的功能,然后存储在安装文件夹中。
“插件的文件夹没有任何索引.html文件,因此,在启用了目录列表的服务器上,黑客可以找到并查看日志,“说任天堂的Jerome Bruandet
Bruandet说,在运行该插件易受攻击版本的站点上,黑客一直在进行自动攻击,以识别管理员帐户,然后启动密码重置。
因为密码重置需要发送一封电子邮件,其中包含密码重置链接到管理员帐户,此电子邮件也记录在Easy WP SMTP调试日志中。
所有攻击者要做的就是在密码重置后访问调试日志,获取重置链接,并接管站点的管理员帐户。
“当前有人利用此漏洞,请确保尽快更新到最新版本,”Bruandet在本周早些时候警告道。
该插件的开发人员已通过将插件的调试日志移到WordPress日志文件夹,在那里它得到更好的保护。根据插件的变更日志
这标志着在这个非常流行的插件中发现的第二个零日。第一个零日被发现在2019年3月被肆意滥用,当时黑客利用一个简单的WP SMTP漏洞启用用户注册,然后创建了后门管理员帐户。
好消息是相比之下到2019年3月,今天,WordPress CMS收到了https://www.zdnet.com/article/wordpress-to-add-auto-update-feature-for-themes-and-plugins/“target=”\u blank“>内置的主题和插件自动更新功能
于2020年8月添加,释放WordPress 5.5如果启用,此功能将允许插件通过更新自身来始终在最新版本上运行,而不是等待管理员的按钮按下。
目前尚不清楚有多少WordPress站点启用了此功能,以及500000多个WordPress站点中有多少站点正在运行最新(修补的)Easy WP SMTP版本。
根据WordPress.org网站据统计,这个数字没有那么高,这意味着许多站点仍然容易受到攻击。
通过注册,您同意
2023-03-22 10:04:24
Copyright © 2017-2023 soword.cn SOWORD科技言
网站地图 BUG反馈 联系我们 用户隐私
栖族科技开发服务中心
浙公网安备 33011002016917号
京ICP备19009350号-2
soword科技言免费资源网站,免费API接口,免费开发模板,免费开发工具,开发技术问题,汉化版免费开发工具,API接口,开发教程,免费教程
SOWORD科技言
