当前位置:首页>Wordpress教程>Easy WP SMTP插件 1.4.3修复敏感数据泄露漏洞

Easy WP SMTP插件 1.4.3修复敏感数据泄露漏洞

Easy WP SMTP插件具有一个可选的调试日志文件,该文件以随机名称生成,位于插件文件夹中,并且包含所有发送的电子邮件。但是 ...

Easy WP SMTP插件具有一个可选的调试日志文件,该文件以随机名称生成,位于插件文件夹中,并且包含所有发送的电子邮件。但是,此文件夹没有任何索引页,从而允许访问目录列表已启用或配置错误的服务器上的日志文件。这可能允许攻击者通过从日志中获取重置链接来重置管理员密码,从而获得未经授权的博客访问。Easy WP SMTP修复了一个漏洞,该漏洞使攻击者可以从插件的调试日志文件中捕获密码重置链接,并获得对站点的未授权访问。超过500,000个WordPress站点使用该插件来配置和发送所有通过SMTP服务器发送的电子邮件。

Easy WP SMTP版本1.4.3包含此修复程序,在插件的文件夹中添加了一个空的“ index.html”文件,以防止任何人浏览文件(即使该服务器上缺少Option -Indexes)。建议用户立即进行更新,因为该漏洞已经被广泛利用。

NinTechNet的安全研究员Jerome Bruandet报告了此漏洞,并发表了一篇文章,解释了攻击者如何访问调试日志,其中插件编写了该站点发送的所有电子邮件。使用作者档案扫描,黑客可以找到用户名,然后发送密码重置电子邮件,该电子邮件会通过Easy WP SMTP调试日志文件被截获:

Easy WP SMTP插件 1.4.3修复敏感数据泄露漏洞

在发布时,大约51.8%的用户使用的是1.4.x版本的插件。如果没有更具体的细分,则不清楚有多少用户已更新到补丁的1.4.3版本。今天,大约有59,000个站点下载了该插件,如果没有更新的朋友,请尽快更新该插件。

使用WordPress 5.5.3的用户,可以为插件启用自动更新。旧版WordPress或已禁用自动更新的站点的管理员将需要尽快手动更新。

文章链接:https://www.7zt.cn/3272.html
文章标题:Easy WP SMTP插件 1.4.3修复敏感数据泄露漏洞
文章版权:柒主题 所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
本文最后更新发布于2022年11月21日 17时06分55秒,某些文章具有时效性,若有错误或已失效,请在下方留言或联系:21660010@qq.com
声明 本站上的部份代码及教程来源于互联网,仅供网友学习交流,若您喜欢本文可附上原文链接随意转载。无意侵害您的权益,请发送邮件至 柒主题 或点击右侧 私信:站长 反馈,我们将尽快处理。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索