Ti aspettiamo anche sul nostro sito!link
Breaking News

WordPress Easy WP SMTP: vulnerabilità zero-day espone migliaia di siti

1 minuti lettura
WordPress Easy WP SMTP vulnerabilità

Gli hacker stanno sfruttando una vulnerabilità zero-day nel plugin Easy WP SMTP di WordPress per resettare le password degli account admin. Il plugin è installato su più di 500.000 siti ma, nonostante la patch di sicurezza sia stata rilasciata a inizio settimana, molti siti devono ancora essere aggiornati.
Il plugin Easy WP SMTP permette di configurare e inviare tutte le e-mail in uscita attraverso un server SMTP, prevenendo la possibilità che le e-mail finiscano nella casella spam.

La vulnerabilità zero-day coinvolge le versioni WP SMTP 1.4.2 e precedenti, e risiede in una funzionalità che crea log di debug per tutte le e-mail (header e corpo) inviate dal sito e poi archiviate nella cartella di installazione.

Secondo il team di Ninja Technologies Network (NinTechNet), “il plugin Easy WP SMTP ha un log di debug opzionale in cui scrive tutti i messaggi di posta inviati: un file di testo con un nome casuale che si trova all’interno della cartella di installazione del plugin “/wp-content/plugins/easy-wp-smtp”. La cartella del plugin non ha alcun file index.html quindi, sui server in cui è abilitato l’elenco delle directory, gli hacker possono trovare e visualizzare i log”

Gli hacker sfruttano il difetto per identificare l’account admin nei log e provare a resettare la password. La procedura di reset invia un’e-mail con il link di reset password all’account admin. Questa e-mail è registrata nei log di debug di Easy WP SMTP. Gli hacker accedono al log di debug dopo il reset della password, cercano il link di reset e prendono il controllo dell’account admin del sito.

Il team di sviluppatori di Easy WP SMTP ha risolto la falla con il rilascio di Easy WP SMTP 1.4.4. Non è ancora chiaro quanti siti WordPress siano esposti a questa vulnerabilità.

Esegui tutte le operazioni necessarie per mettere in sicurezza i dati le informazioni sensibili. Leggi i nostri 10 consigli per proteggere il tuo sito in WordPress!

Note sull'autore
Marketing Assistant - Appassionata di scrittura e social media, crede fortemente nell’influenza positiva del digitale e della comunicazione nella vita quotidiana. In Shellrent supporta le imprese nell’identificazione delle soluzioni più adatte in materia di hosting, cloud e infrastrutture IT.
Articoli
Articoli correlati
Breaking News

PHP 8: quali sono le nuove funzioni?

2 minuti lettura
Rilasciata ufficialmente il 26 novembre 2020, la nuova versione PHP 8 apporta diverse novità e funzioni interessanti, volte ad incrementare le performance…
Breaking News

Solidarietà digitale: hosting per e-commerce al servizio di negozi e imprese

2 minuti lettura
Porta online il tuo negozio o attività scegliendo il nostro hosting Enterprise, perfetto per realizzare un portale e-commerce. Gratuito per 1 anno,…
Breaking News

Le novità di PHP 8, già disponibile sui cloud e dedicati Plesk

2 minuti lettura
Il 26 novembre 2020 è stato rilasciato PHP 8, la nuova major release che introduce diverse novità, molte delle quali già apportate…