WordPress Easy WP SMTP Plugin Vulnerability

Popular WordPress plugin Easy WP SMTP plugin, with over 500,000 active installations, just patched a vulnerability that allows an attacker to take control of a site. The flaw in the WordPress plugin allows hackers to reset the admin password and take complete control of a website.

Easy WP SMTP Vulnerability

The vulnerability is in a debug log file that is exposed because of a very basic error in how the plugin maintained a folder. Plugin folders on a server that contain files that are not meant to be seen by users usually contain a blank index.html file. The purpose of that file is to keep someone from navigating to that folder and discovering a list of files within that folder.

SEO PowerSuite. FREE SEO Tools That Deliver Results.
Easy-to-use. Effective. Reliable. Improve your website rankings with SEO PowerSuite.DOWNLOAD FREEADVERTISEMENT

If someone can see the list of files, then they can potentially access those files, which is the case.

The folder where the debug log file exists does not have an index.html file. So on servers where directory index listings are not disabled by default a malicious hacker can gain access to that file.

What they first do is obtain an admin level user name from the WordPress site they are trying to hack using widely known methods.

Then they access the WordPress login page and send a password reset for the admin account.

Finally they access the debug log file and retrieve a record of the password reset link that the WordPress site sent. Once they retrieve that link they can enter it, reset the password and then enjoy full access to the WordPress site.ADVERTISEMENTCONTINUE READING BELOW

Folder Problem Documented in Changelog

The Easy WP SMTP Vulnerability plugin maintains what is called a changelog that documents all the changes within each update. The changelog is meant to be read so that a user can understand what an update is changing.

Normally when a vulnerability is being patched the plugin developers will note that a vulnerability is being patched. This gives the WordPress publisher the information they need to make an informed decision as to whether or not to update a plugin or wait.

A changelog that informs a publisher that an update is plugging a vulnerability allows that publisher to make an informed decision to update the plugin in order to avoid getting hacked.

The Easy WP SMTP plugin changelog only says that they are inserting an index.html file in a folder to prevent anyone from browsing it. That should be warning enough that this is an important update, but only if the publisher understands that peeking into the folder is dangerous.

Screenshot of Easy WP SMTP Changelog

Update Plugin Immediately

42 Comments

  1. Временная регистрация в Москве: Быстро и Легально!
    Ищете, где оформить временную регистрацию в Москве? Мы гарантируем быстрое и легальное оформление без очередей и лишних документов. Ваше спокойствие – наша забота!
    Минимум усилий • Максимум удобства • Полная легальность
    Свяжитесь с нами прямо сейчас!
    .

  2. вывести алкоголь из организма капельница https://mosalkogolunet.ru/

  3. Профессиональный сервисный центр по ремонту Apple iPhone в Москве.
    Мы предлагаем: ремонт айфонов в москве недорого
    Наши мастера оперативно устранят неисправности вашего устройства в сервисе или с выездом на дом!

  4. Веселые видеоролики http://shutki-anekdoty.ru/videos.

  5. Свежие и смешные картинки http://shutki-anekdoty.ru/kartinki-prikolnye.

  6. Прикольные видеоролики http://shutki-anekdoty.ru/videos.

  7. Откройте для себя мир ставок с зенит букмекерская контора! С простым доступом, широкой линией и удобными инструментами здесь каждый матч становится захватывающим приключением. Заходите и сделайте свою ставку!

  8. марафон бет — это ваш выбор для удобных и захватывающих ставок! Надёжность и доступность в любое время делают эту платформу отличным спутником для любителей спорта. Давайте выигрывать вместе!

  9. An impressive share! I have just forwarded this onto
    a coworker who has been doing a little homework on this.
    And he in fact bought me dinner due to the fact that I stumbled upon it for him…
    lol. So allow me to reword this…. Thanks for the meal!!
    But yeah, thanx for spending some time to discuss this matter here on your internet site.

  10. I don’t think the title of your article matches the content lol. Just kidding, mainly because I had some doubts after reading the article.

  11. Свежие приколы http://shutki-anekdoty.ru/.


  12. Временная регистрация в Москве: Быстро и Легально!
    Ищете, где оформить временную регистрацию в Москве? Мы гарантируем быстрое и легальное оформление без очередей и лишних документов. Ваше спокойствие – наша забота!
    Минимум усилий • Максимум удобства • Полная легальность
    Свяжитесь с нами прямо сейчас!
    .

  13. buy progesterone 200mg generic – purchase clomiphene online cheap order fertomid

  14. order capecitabine 500mg for sale – buy capecitabine medication buy danazol 100mg sale

  15. Почему стоит выбрать zenitbet букмекерская? Здесь не только привлекательные коэффициенты, но и постоянный доступ к ставкам даже при блокировках. Это удобно, надёжно и действительно эффективно для тех, кто любит выигрывать.

  16. Применение зенит зеркало представляет собой актуальный метод обхода блокировок. Оно гарантирует пользователям непрерывный доступ к ресурсу и возможность использования всех функций Zenitbet.

  17. Сервисный центр предлагает ремонт samsung rv711 в петербурге ремонт samsung rv711 цены

  18. Свежие приколы, шутки и картинки http://shutki-anekdoty.ru.

  19. Лечение химической зависимости в Астане https://narcologicheskiy-centr-v-astane.kz/

  20. Сервисный центр предлагает срочный ремонт кофемашин saeco починить кофемашины saeco

  21. Decouvrez notre selection de
    Couteaux de poche
    au meilleur prix

  22. Свежие и смешные анекдоты https://sites.google.com/view/smeshnye-video/anekdoty

  23. Свежие и смешные анекдоты http://shutki-anekdoty.ru/anekdoty

Leave a reply

ZSM eServices Pvt ltd
Logo