Easy WP SMTP Eklentisinde Güvenlik Açığı

Easy WP SMTP eklentisi geliştiricileri, çok kritik bir güvenlik açığını gideren yeni bir güncelleme yayınladı. Bu güvenlik açığından yararlanıldığında, kimliği doğrulamadan saldırganlara sitenin tüm seçeneklerini değiştirme gücünü veriyor.

Güvenlik açığı, admin_init hook’ın yanlış anlaşılmasından ve hatalı kullanılmasından ortaya çıkıyor. Bu işlev çeşitli idari özellikleri ele almaktadır. Bunlardan biri, içe/dışa aktarma mekanizması, bir saldırganın, sitenin veritabanında güncellenecek bir seçenekler listesi içeren dosyaları içe aktarmasına olanak tanır.

Bu seri hale getirilmiş içerik bir PHP Nesne Enjeksiyonu saldırısı gerçekleştirmek için kullanılabilse de, kötü oyuncular bazı WordPress seçeneklerinin herhangi bir kullanıcıya yönetimsel ayrıcalıklar vermek için basitçe güncellenmesini çok daha kolay bulmuşlardır.

Aktif kurulumların sayısı, açığın kolaylığı ve başarılı bir saldırının etkileri bu güvenlik açığını özellikle tehlikeli yapan şeydir. Bu eklentinin 1.3.9 sürümünü kullanıyorsanız, mümkün olan en kısa sürede onu 1.3.9.1 sürümüne güncellemenizi kesinlikle öneririz.

Site Footer