فا

‫ اخبار

آسیب‌پذیری روزصفر در افزونه SMTP وردپرس

#‫آسیب‌پذیری روز صفر در افزونه SMTP وردپرس که منجربه بازنشانی پسورد ادمین می‌شود به صورت گسترده در حال اکسپلویت است. وصله این آسیب‌پذیری در تاریخ 7 دسامبر سال جاری منتشر شده است، اما هنوز هم بسیاری از سایت‌ها وصله نشده باقی مانده‌اند. بنابراین لازم است مدیران وبسایت‌های وردپرسی که از این افزونه استفاده می‌کنند، هرچه سریع‌تر اقدام به به‌روزرسانی این نرم‌افزار نمایند.
افزونه Easy WP SMTP که برای تنظیم SMTP برای ایمیل‌های ارسالی از وبسایت استفاده می‌شود و در بیش از 500،000 وبسایت نصب شده است، در هفته گذشته مورد حملات گسترده قرار داشته است و هنوز هم با وجود اینکه وصله آن منتشر شده است، همچنان این حملات ادامه دارند. بر اساس گزارش NinTechNet، نسخه 1.4.2 ازEasy WP SMTP و نسخه‌های قبل از آن دارای ویژگی است که برای هر ایمیل ارسالی لاگی برای اشکال‌زدایی تولید می‌کند و در دایرکتوری نصب این افزونه ذخیره می‌کند. قابلیت پیمایش دایرکتوری در دایرکتوری نصب افزونه فعال است، بنابراین هکرها می‌توانند لاگ‌ها را مشاهده کنند.
در سایت‌هایی که نسخه‌های آسیب‌پذیر این افزونه را استفاده می‌کنند، هکرها حمله خودکاری را اجرا می‌کنند تا حساب کاربری ادمین را شناسایی کرده و درخواستی برای بازنشانی پسورد کاربر ادمین ارسال کند. از آنجایی‌که بازنشانی پسورد، شامل ارسال ایمیل بازنشانی به لینک حساب کاربری ادمین است؛ این ایمیل نیز در لاگ‌های WP SMTP ذخیره می‌شود. سپس هکرها با دسترسی به لاگ این ایمیل‌ها لینک بازنشانی را استخراج کرده و پسورد حساب کاربری ادمین را بازنشانی کرده و دراختیار می‌گیرند.
توسعه دهندگان برای رفع این آسیب‌پذیری لاگ‌های این افزونه را به دایرکتوری لاگ‌های وردپرس که از امنیت بیشتری برخوردار است، منتقل کرده‌اند. این دومین بار است که یک آسیب‌پذیری روز صفر در این افزونه شناسایی می‌شود و به صورت گسترده مورد سوء استفاده قرار می‌گیرد. اما خوشبختانه در مقایسه آسیب‌پذیری روز صفر اول که در مارس 2019 منتشر شده بود، در حال حاضر قابلیت به‌روزرسانی خودکار به این افزونه اضافه شده است. بنابراین کاربران این افزونه برای به‌روزرسانی آن کافیست دکمه به‌روزرسانی خودکار را فعال کنید. اگر از نسخه‌های آسیب‌پذیر افزونه Easy WP SMTP استفاده می‌کنید، هرچه سریع‌تر نسبت به به‌روز‌رسانی این نرم‌افزار به نسخه 1.4.4 اقدام نمایید.
منبع خبر:


مشخصات خبر

تاریخ ایجاد: 25 آذر 1399

امتیاز

امتیاز شما
تعداد امتیازها: 0