Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

0day w pluginie WordPressa do wysyłania maili

21 marca 2019, 15:05 | W biegu | 1 komentarz

Chodzi o easy Easy WP SMTP (300 000+ instalacji)  – operacja masowego wykorzystywania luki w tym oprogramowaniu trwa w najlepsze. NinTechNet zauważył aktywne ataki na instancje WordPressa wykorzystujące plugin, po czym poinformował twórcę pluginu. Patch już jest dostępny:

We reported the vulnerability to the authors and the wordpress.org team on March 15 and a new version 1.3.9.1 was released on March 17.

Podatność można wykorzystać bez uwierzytelnienia i można przejąć pełne uprawnienia nad WordPressem (łącznie z wykonaniem kodu w systemie operacyjnym) – podatność to klasyczny PHP Object injection.

Łatajcie, choć w najnowszej wersji też nie wyeliminowano wszystkich problemów bezpieczeństwa… Można też czepiać się opisowi ostatniej łaty:

  • Fixed potential vulnerability in import\export settings.

to znaczy naszym zdaniem ciężko nazywać aktywnie wykorzystywaną podatność 0-day jako „potencjalny problem bezpieczeństwa” :-P

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Staram się ograniczyć użycie wtyczek, bo nawet najlepsze mogą robić problemy…

    Odpowiedz

Odpowiedz