The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP, имеющем 500 тысяч установок

13.12.2020 11:41

В WordPress-плагине Easy WP SMTP, предназначенном для организации отправки писем через SMTP-сервер и насчитывающем более 500 тысяч активных установок, выявлена уязвимость, позволяющая получить полный доступ к сайту с правами администратора. Проблема устранена в выпуске 1.4.4. Примечательно, что разработчики узнали о проблеме после массовой атаки на сайты с данным плагином, в ходе которой неизвестные злоумышленники меняли пароль администратора (0-day уязвимость, используемая для атаки до появления исправления).

Уязвимость была вызвана тем, что плагин сохранял в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/" файл с отладочным логом, в котором отображалось содержимое всех отправленных писем. Лог создавался со случайными символами в имени файла (например, "5fcdb91308506_debug_log.txt"), но для каталога не было настроено скрытие списка файлов. В выпуске 1.4.3 разработчики добавили файл index.html для запрета просмотра списка файлов, а в выпуске 1.4.4 переместили лог в отдельный каталог и добавили сброс содержимого при каждой активации плагина.

Для атаки достаточно было инициировать на сайте процесс восстановления забытого пароля для пользователя с правами администратора, после чего настоящему администратору отправлялось письмо с кодом для сброса пароля. Атакующий мог в отладочном логе увидеть содержимое этого письма и указанную в нём ссылку на форму изменения пароля.

Дополнительно можно отметить новый выпуск системы управления web-контентом WordPress 5.6, в котором предложена новая тема оформления по умолчанию, расширены возможности редактора блочной компоновки страниц, повышена гибкость при произвольной раскладке элементов на странице, добавлены новые шаблоны блоков, реализована возможность прикрепления субтитров и примечаний к видео, расширен режим автоматического обновления плагинов и тем оформления, началась реализация поддержки PHP 8, в REST API добавлена возможность аутентификации приложений по отдельным паролям.



  1. Главная ссылка к новости (https://blog.nintechnet.com/wo...)
  2. OpenNews: Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок
  3. OpenNews: Релиз системы управления web-контентом WordPress 5.5 с поддержкой автообновления плагинов
  4. OpenNews: Критическая уязвимость в WordPress-плагине wpDiscuz, насчитывающем 80 тысяч установок
  5. OpenNews: Создатели WordPress инвестировали $4.6 млн в компанию, развивающую Matrix-клиент Riot
  6. OpenNews: Уязвимости в WordPress-плагинах, имеющих более миллиона установок
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54250-wordpress
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (67) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, hgdslvodf (?), 11:51, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/"

    кривая настройка вебсервера и уязвимость плагина всё-таки разные вещи.

    >для каталога не было настроено скрытие списка файлов

    именно

    >добавили файл index.html для запрета просмотра списка файлов

    wat?

     
     
  • 2.3, InuYasha (??), 11:53, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Это доисторический рабочий трюк для сокрытия листинга. Сервер просто вернёт этот /dir/index.htm при обращении к /dir/
     
     
  • 3.4, hgdslvodf (?), 11:54, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     
     
  • 4.39, Аноним (39), 20:29, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот только по полному пути файл по-прежнему доступен.
    По-хорошему надо запрещать запись в /www и разрешать только в специально отведённые папки как то /uploads logs и например в нечто plugins_data куда плагины могут сваливать свой рабочий мусор. Тогда все плагины, которые пишут данные куда попало идут лесом, нормальные плагины пишут куда следует, а инструкция по установке или сам установщик вордпреса на сервер делает нужные разрешения на папки. И проблема аналогичная данной решается для всех нынешних и будущих плагинов.
     
     
  • 5.55, Java omnomnom your memory linux (?), 12:47, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А потом люди ещё удивляются почему php не любят и весь бэк пишут на jvm/.net/etc
     
     
  • 6.63, Аноним (63), 20:06, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всего то лишь не осилили настроить .htaccess или конф nginx
     
     
  • 7.67, InuYasha (??), 16:14, 15/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё chmod, chown, setfacl, и, для полного счастья - selinux. :)
     
  • 6.65, Х (?), 08:43, 15/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это все же вопрос не к php - веб-сервер при неверно заданных разрешениях вернет файл по пути при любом ЯП. Другое дело, что PHP-сайты часто куда более легковесно настроены, чем все эти ваши явы с их вебом )
     
  • 3.54, Аноним (54), 10:55, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только если у сервера index.html настроен в качестве индекс-файла.
    Вообще конечно хранить в логах чувствительное содержимое без предупреждения по умолчанию - это полный ппц.
     
  • 2.20, Аноним (20), 15:53, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > кривая настройка вебсервера

    сдаётся, то был плагин-троян, чтобы читать почту нерадивых юзероадминов.

     

  • 1.2, InuYasha (??), 11:52, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Нахрена в проде вообще генерить ТАКОЙ лог да ещё и в папку в /www/?!!
     
     
  • 2.5, hgdslvodf (?), 11:58, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    WP не даёт ни абстракций ни реализаций для многих полезных вещей. Каждый разработчик городит свои велосипеды.
     
     
  • 3.53, Аноним (54), 10:53, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не включать детальный лог (не включать содержимое) по умолчанию и дать пользователю самому указать путь для хранения логов - это, конечно, уже немножко выше того, что могут современные разработчики, да.
     
     
  • 4.56, Современные разработчики (?), 16:44, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да мы-то можем. Мы потом не можем объяснить щасливому юзверю, как ему получить дебаг для нас.

    Поэтому сделали такой, который мы точно всегда можем прочитать. А что у вас там пароли в почте - ну кто ж знал?!

    Мы-то себе прямо в базе всегда меняли...

     
  • 2.23, Разработчик (?), 16:00, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А как я его тебе скачаю, если он не будет в www?!


     
     
  • 3.24, Аноним (20), 16:01, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А зачем тебе качать МОИ логи?!
     
     
  • 4.27, Разработчик (?), 16:06, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > А зачем тебе качать МОИ логи?!

    Это не твои логи, это кого надо логи! Ты бы до этой новости даже и не узнал бы, что там есть какие-то логи.


     
     
  • 5.29, Аноним (20), 16:15, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > даже и не узнал бы, что там есть какие-то логи

    я по логам веб-сервера узнал, что все кулхацкеры ищут на моём сайте какой-то "вротпресс".

     
     
  • 6.37, Атон (?), 19:32, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    дай им то чего они хотят
     

  • 1.7, YetAnotherOnanym (ok), 12:16, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    > переместили лог в отдельный каталог и добавили сброс содержимого при каждой активации плагина

    Они прямо-таки постигли дзен логирования: очистка логов при перезапуске - это как раз то, что нужно для разбора полётов в случае проблем.

     
     
  • 2.21, Аноним (20), 15:56, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Просто цель была другая: троян, а не плагин.
     
  • 2.64, gogo (?), 02:36, 15/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А я вот не постиг.
    Про какую АКТИВАЦИЮ плагина они говорят? Когда его включают-выключают в панели ВП? Или при рестарте сессии, демона? Или после каждой отсылки письма?
     

  • 1.9, Аноним (9), 14:07, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Самое интересное, что проблемы безопасности в таких случаях очень показательны.
    Не сложные ошибки, эксплуатирующиеся по сторонним каналам, не проблемы самого языка, не какие-то интересные сбои.

    Нет.

    Так, халатность и разгильдяйство, самое дно того качества кода, что вообще может быть написан на PHP, и уже до такой степени показательно, что WP стал чудесной антирекламой языку.


    Это удручает, и это отвратительно.

     
     
  • 2.11, Аноним (11), 14:18, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Смысл экономии в том чтобы дать минимально допустимое качество.
     
     
  • 3.22, Аноним (20), 15:57, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > минимально допустимое качество

    Это недопустимое качество.

     
     
  • 4.25, Разработчик (?), 16:01, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Пятьсот тысяч установок!

    Поучи нас еще, какое качество допустимое.

     
     
  • 5.30, Аноним (20), 16:18, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Снимаю перед Вами шляпу... Столько экземпляров трояна поставить!
     
     
  • 6.68, InuYasha (??), 16:21, 15/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Снимаю перед Вами шляпу...

    Ви, таки, непrавильно снимаете шляпу!
    Успешные разработчики снимают её ради того лишь, чтобы в неё посыпались донатики )

     
  • 2.32, Аноним (32), 16:52, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скоро на раст перепишут и все наладится
     
     
  • 3.33, Аноним (20), 17:26, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Боюсь даже представить, какие тупейшие ошибки будут совершать растаманы, пишущие вротпресс.
     
  • 2.44, Аноньимъ (ok), 02:53, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот, ВП главная реклама.

    Имхо, не стоит фантазировать много на счёт пхп. Его единственная цель быть простым как инструмент и понятным даже Алле Пугачевой.

    Вордпресс вершина на самом деле для ПХП. ЦМС для всех и каждого. Подключай плугины правь на коленке.

    Безопасность качество скорость никогда речи об этом не шло с пхп.

     
  • 2.51, Аноним (54), 10:51, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, WP ныне - это почти худшее, что написано на PHP за всё время его существования.
    Хуже наверное только друпал с жумлой.
     

  • 1.10, Аноним (11), 14:16, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?
    Ответ: Нет.
    А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать Rust?
     
     
  • 2.12, неРастНеСиНеСекта (?), 14:46, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Новость про PHP и WP, про уязвимости в WP. Зачем ты сюда принес раст? Чтобы говно развести?

    Или у сишников так горит от раста, что они каждый день живут с мыслю о том, какое он говно, и считают своим долгом заставить всех других так думать?

     
     
  • 3.13, Аноним (13), 14:52, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дак тут по моему 1,5 поехавших в любой новости вспоминают раст. Я вообще не уверен что они хотя бы на баше скриптик напишут, просто с голой проблемы, не обращайте внимания
     
     
  • 4.15, Аноним (11), 15:05, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уверен что твой Вордпресс полон дыр.
     
     
  • 5.41, Аноним (13), 23:03, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он не мой, а общий
     
  • 3.14, Аноним (11), 15:02, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не все же одному Фракталу тут растофикалии развозить.
     
  • 2.16, n00by (ok), 15:07, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И что думаете если Wordpress перейдет на Rust, что-то изменится в плане
    > уязвимостей?

    Сложность языка повышает порог вхождения. Вывод сделаете, или помочь?

     
     
  • 3.17, Аноним (17), 15:12, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо срочно перейти на плюсы, а то руст одних жс-обезьян приманивает. Вот тогда заживём!
     
     
  • 4.19, n00by (ok), 15:52, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Является ли знак , (запятая) оператором в C?

    Да - 29,56%
    Нет - 54,01%
    Узнать результаты - 16.42%

    Проголосовали 274 человека


     
     
  • 5.28, Аноним (17), 16:09, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лол, ну то такое, может опрос и не среди программистов вовсе. Чисто логически можно спросить себя "а что это в таком случае, для си?", правда, тут тоже потребуется знание синтаксиса как минимум.
     
     
  • 6.31, Аноним (20), 16:21, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а что это в таком случае

    Можно пойти путём исключения... Идентификатор? Нет. Ключевое слово? Нет. Пробельный символ? Тоже нет... Но программисты ныне не способны логически думать.

     
     
  • 7.43, Аноньимъ (ok), 02:47, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Есть ли в Си синтаксис?
     
     
  • 8.46, Аноним (20), 07:53, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хороший вопрос Учитывая отборнейший бред, заложенный в язык, синтаксис в нём по... текст свёрнут, показать
     
     
  • 9.48, n00by (ok), 09:30, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Annex A informative Language syntax summary... текст свёрнут, показать
     
  • 5.38, Аноним (38), 19:36, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так зависит от контекста.
     
     
  • 6.47, n00by (ok), 09:27, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если попробовать подумать, как работает абстрактная машина и/или транслятор, окажется, что comma operator и в identifier-list ведётся себя точно так же. Неопределённый порядок вычислений там появился ради оптимизации.
     
  • 5.45, anonimous (?), 05:30, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да.
     
  • 3.59, Аноним (59), 18:35, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У раста нет сложности. Вывод сделаешь сам или помочь?
     
     
  • 4.66, n00by (ok), 09:38, 15/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > У раста нет сложности. Вывод сделаешь сам или помочь?

    Сделал: Вы придумали, будто бы я заявил "у Раста есть сложность", после чего принялись отрицать свой вымысел.

     
  • 2.26, Разработчик (?), 16:05, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?

    Конечно изменится - нет вордпресса, нет уязвимостей!

    Главное переходить сразу rm -rf *, а не как эта ваша мурзила - перепишем-перепишем-перепишем, ой, пук! Сколько там - процентов 5 успели за десять лет, прежде чем их всех выкинули за борт?

    > А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать
    > Rust?

    ты совсем чтоль дурак? Именно затем. Тебе зарплата за эти десять лет, что, не понадобится?
    Причем пинком под зад уволить тебя и нанять десять таких же, как с пехепе, нихрена не получится - они следующие десять лет будут либо пытаться понять, что ж ты там такого понакодил, либо "рефакторить" - то есть переписывать с нуля, потому что проще угадать, что делала эта фича, чем понять - как, и что в ней теперь нужно поправить.

     

  • 1.18, Аноним (20), 15:23, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Обновление WordPress 5.6

    Обновление Уязвимостей 5.6

     
  • 1.34, КО (?), 18:18, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "предназначенном для организации отправки писем через SMTP-сервер"
    С какого-то xера ведет логи
     
     
  • 2.52, Аноним (54), 10:52, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не ведёте логи вообще ни для чего?
    Другое дело, что прежде, чем вести логи, надо думать головой насчёт того, что логгировать, и куда размещать.
     

  • 1.35, Аноним (35), 18:32, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    обновление 5.6 имеет проблемы совместимости с плагином Classic Editor (или наоборот, как угодно). В зависимости от вашей удачи, могут пропасть отдельные элементы, например, подсветка выделения в ctrl+k, или полная неработоспособность редактора TinyMCE. обновляйтесь аккуратнее, господа.
     
  • 1.36, Аноним (38), 19:21, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    красава
     
  • 1.40, Ilya Indigo (ok), 21:18, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Просто охренеть... даже культурные слова не находятся...
     
  • 1.42, Аноньимъ (ok), 01:05, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вордпресс вроде целиком из дыр состоит бай десинг.

    Новость как в виндовс нашли телеметрию короче.

     
  • 1.49, qweqwe (?), 09:57, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Админю пару сайтов на WP, и стоят эти плагины.
    Фишка в том что используется только nginx + php-fpm)
    Там файлы не выводятся.
     
     
  • 2.57, грмхм (?), 16:47, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    что, и картинки или документы тоже не выводятся? Молодец, все правильно сделал.

     

  • 1.50, Аноним (54), 10:49, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > плагин сохранял в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/" файл с отладочным логом, в котором отображалось содержимое всех отправленных писем

    Откуда растут руки у этих пейсателей? Зато мега-фреймворки, тонны классов, юнит-тесты, все дела. Вот только всё это бесполезно, когда руки растут оттуда.

     
     
  • 2.61, Аноним (20), 19:18, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Типичные будущие растаманы.
     
  • 2.62, Аноним (20), 19:18, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Куча красивых слов и пароли в публичном текстовичке.
     

  • 1.58, Аноним (59), 18:33, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А чего тут растоманов нет? В php тоже нет работы с памятью, а дыр больше чем в любом сишном проекте.
     
     
  • 2.60, Аноним (20), 19:16, 14/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тссс! Не пали источник проблем!
     

  • 1.69, mickvav (?), 16:48, 15/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А отключить вывод отладочной информации в установке по умолчанию авторы считают выше своего достоинства?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру