Gdy przestają działać maile wysyłane z poziomu funkcji mail na serwerze, pomocne okazują się wtyczki zmieniające ten mechanizm na wykorzystujący protokół SMTP. Jedną z popularniejszych wtyczek jest „Easy WP SMTP” od wpecommerce.
Wtyczka ta jednak w wersji 1.4.2 i niższych ma poważny błąd, który pozwala przejąć nawet pół miliona stron internetowych opartych o WordPress.
Jak donosi Ninja Technologies Network (NinTechNet) przez prosty błąd dowolna osoba może przejąć kontrolę nad stroną internetową.
Jedną z funkcji wspomnianej wtyczki jest opcja debugowania. Zapisuje ona w folderze wtyczki (/wp-content/plugins/easy-wp-smtp/) plik tekstowy z zapisem wszystkich wysyłanych maili, a sam folder wtyczki nie posiada pliku index.html/php, a wiec dowolna osoba może uzyskać do niego dostęp i wygenerować sobie tym sposobem link do resetu hasła.
Zaaktualizuj jak najszybciej wtyczkę do wersji 1.4.4 , a obszerniejszy tekst o tej podatności znajdziesz na stronie NinTechNet: https://blog.nintechnet.com/wordpress-easy-wp-smtp-plugin-fixed-zero-day-vulnerability/
