В WordPress-плагине Easy WP SMTP, предназначенном для организации отправки писем через SMTP-сервер и насчитывающем более 500 тысяч активных установок, выявлена уязвимость, позволяющая получить полный доступ к сайту с правами администратора. Проблема устранена в выпуске 1.4.4. Примечательно, что разработчики узнали о проблеме после  массовой атаки на сайты  с данным плагином, в ходе которой неизвестные злоумышленника меняли пароль администратора (0-day уязвимость, используемая для атаки до появления исправления)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54250

• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,hgdslvodf, 11:51 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,InuYasha, 11:53 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,hgdslvodf, 11:54 , 13-Дек-20
      • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 20:29 , 13-Дек-20
        • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Java omnomnom your memory linux, 12:47 , 14-Дек-20
          • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 20:06 , 14-Дек-20
            • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,InuYasha, 16:14 , 15-Дек-20
          • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Х, 08:43 , 15-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 10:55 , 14-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 15:53 , 13-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,InuYasha, 11:52 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,hgdslvodf, 11:58 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 10:53 , 14-Дек-20
      • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Современные разработчики, 16:44 , 14-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Разработчик, 16:00 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 16:01 , 13-Дек-20
      • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Разработчик, 16:06 , 13-Дек-20
        • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 16:15 , 13-Дек-20
          • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Атон, 19:32 , 13-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,YetAnotherOnanym, 12:16 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 15:56 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,gogo, 02:36 , 15-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 14:07 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 14:18 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 15:57 , 13-Дек-20
      • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Разработчик, 16:01 , 13-Дек-20
        • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 16:18 , 13-Дек-20
          • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,InuYasha, 16:21 , 15-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 16:52 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 17:26 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноньимъ, 02:53 , 14-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 10:51 , 14-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 14:16 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,неРастНеСиНеСекта, 14:46 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 14:52 , 13-Дек-20
      • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 15:05 , 13-Дек-20
        • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 23:03 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 15:02 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,n00by, 15:07 , 13-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 15:12 , 13-Дек-20
      • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,n00by, 15:52 , 13-Дек-20
        • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 16:09 , 13-Дек-20
          • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 16:21 , 13-Дек-20
            • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноньимъ, 02:47 , 14-Дек-20
              • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 07:53 , 14-Дек-20
                • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,n00by, 09:30 , 14-Дек-20
        • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 19:36 , 13-Дек-20
          • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,n00by, 09:27 , 14-Дек-20
        • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,anonimous, 05:30 , 14-Дек-20
    • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 18:35 , 14-Дек-20
      • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,n00by, 09:38 , 15-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Разработчик, 16:05 , 13-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 15:23 , 13-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,КО, 18:18 , 13-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 10:52 , 14-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 18:32 , 13-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 19:21 , 13-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Ilya Indigo, 21:18 , 13-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноньимъ, 01:05 , 14-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,qweqwe, 09:57 , 14-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,грмхм, 16:47 , 14-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 10:49 , 14-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 19:18 , 14-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 19:18 , 14-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 18:33 , 14-Дек-20
  • Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,Аноним, 19:16 , 14-Дек-20
• Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,...,mickvav, 16:48 , 15-Дек-20

>в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/"

кривая настройка вебсервера и уязвимость плагина всё-таки разные вещи.

>для каталога не было настроено скрытие списка файлов

именно

>добавили файл index.html для запрета просмотра списка файлов

wat?

Это доисторический рабочий трюк для сокрытия листинга. Сервер просто вернёт этот /dir/index.htm при обращении к /dir/

Спасибо

Вот только по полному пути файл по-прежнему доступен.
По-хорошему надо запрещать запись в /www и разрешать только в специально отведённые папки как то /uploads logs и например в нечто plugins_data куда плагины могут сваливать свой рабочий мусор. Тогда все плагины, которые пишут данные куда попало идут лесом, нормальные плагины пишут куда следует, а инструкция по установке или сам установщик вордпреса на сервер делает нужные разрешения на папки. И проблема аналогичная данной решается для всех нынешних и будущих плагинов.

А потом люди ещё удивляются почему php не любят и весь бэк пишут на jvm/.net/etc

Всего то лишь не осилили настроить .htaccess или конф nginx

А ещё chmod, chown, setfacl, и, для полного счастья - selinux. :)

Это все же вопрос не к php - веб-сервер при неверно заданных разрешениях вернет файл по пути при любом ЯП. Другое дело, что PHP-сайты часто куда более легковесно настроены, чем все эти ваши явы с их вебом )

Только если у сервера index.html настроен в качестве индекс-файла.
Вообще конечно хранить в логах чувствительное содержимое без предупреждения по умолчанию - это полный ппц.

> кривая настройка вебсервера

сдаётся, то был плагин-троян, чтобы читать почту нерадивых юзероадминов.

Нахрена в проде вообще генерить ТАКОЙ лог да ещё и в папку в /www/?!!

WP не даёт ни абстракций ни реализаций для многих полезных вещей. Каждый разработчик городит свои велосипеды.

Не включать детальный лог (не включать содержимое) по умолчанию и дать пользователю самому указать путь для хранения логов - это, конечно, уже немножко выше того, что могут современные разработчики, да.

Да мы-то можем. Мы потом не можем объяснить щасливому юзверю, как ему получить дебаг для нас.

Поэтому сделали такой, который мы точно всегда можем прочитать. А что у вас там пароли в почте - ну кто ж знал?!

Мы-то себе прямо в базе всегда меняли...

А как я его тебе скачаю, если он не будет в www?!

А зачем тебе качать МОИ логи?!

> А зачем тебе качать МОИ логи?!

Это не твои логи, это кого надо логи! Ты бы до этой новости даже и не узнал бы, что там есть какие-то логи.

> даже и не узнал бы, что там есть какие-то логи

я по логам веб-сервера узнал, что все кулхацкеры ищут на моём сайте какой-то "вротпресс".

дай им то чего они хотят

> переместили лог в отдельный каталог и добавили сброс содержимого при каждой активации плагина

Они прямо-таки постигли дзен логирования: очистка логов при перезапуске - это как раз то, что нужно для разбора полётов в случае проблем.

Просто цель была другая: троян, а не плагин.

А я вот не постиг.
Про какую АКТИВАЦИЮ плагина они говорят? Когда его включают-выключают в панели ВП? Или при рестарте сессии, демона? Или после каждой отсылки письма?

Самое интересное, что проблемы безопасности в таких случаях очень показательны.
Не сложные ошибки, эксплуатирующиеся по сторонним каналам, не проблемы самого языка, не какие-то интересные сбои.

Нет.

Так, халатность и разгильдяйство, самое дно того качества кода, что вообще может быть написан на PHP, и уже до такой степени показательно, что WP стал чудесной антирекламой языку.

Это удручает, и это отвратительно.

Смысл экономии в том чтобы дать минимально допустимое качество.

> минимально допустимое качество

Это недопустимое качество.

Пятьсот тысяч установок!

Поучи нас еще, какое качество допустимое.

Снимаю перед Вами шляпу... Столько экземпляров трояна поставить!

> Снимаю перед Вами шляпу...

Ви, таки, непrавильно снимаете шляпу!
Успешные разработчики снимают её ради того лишь, чтобы в неё посыпались донатики )

Скоро на раст перепишут и все наладится

Боюсь даже представить, какие тупейшие ошибки будут совершать растаманы, пишущие вротпресс.

Наоборот, ВП главная реклама.

Имхо, не стоит фантазировать много на счёт пхп. Его единственная цель быть простым как инструмент и понятным даже Алле Пугачевой.

Вордпресс вершина на самом деле для ПХП. ЦМС для всех и каждого. Подключай плугины правь на коленке.

Безопасность качество скорость никогда речи об этом не шло с пхп.

Да, WP ныне - это почти худшее, что написано на PHP за всё время его существования.
Хуже наверное только друпал с жумлой.

И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?
Ответ: Нет.
А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать Rust?

Новость про PHP и WP, про уязвимости в WP. Зачем ты сюда принес раст? Чтобы говно развести?

Или у сишников так горит от раста, что они каждый день живут с мыслю о том, какое он говно, и считают своим долгом заставить всех других так думать?

Дак тут по моему 1,5 поехавших в любой новости вспоминают раст. Я вообще не уверен что они хотя бы на баше скриптик напишут, просто с голой проблемы, не обращайте внимания

Уверен что твой Вордпресс полон дыр.

Он не мой, а общий

Не все же одному Фракталу тут растофикалии развозить.

> И что думаете если Wordpress перейдет на Rust, что-то изменится в плане
> уязвимостей?

Сложность языка повышает порог вхождения. Вывод сделаете, или помочь?

Надо срочно перейти на плюсы, а то руст одних жс-обезьян приманивает. Вот тогда заживём!

Является ли знак , (запятая) оператором в C?

Да - 29,56%
Нет - 54,01%
Узнать результаты - 16.42%

Проголосовали 274 человека

Лол, ну то такое, может опрос и не среди программистов вовсе. Чисто логически можно спросить себя "а что это в таком случае, для си?", правда, тут тоже потребуется знание синтаксиса как минимум.

> а что это в таком случае

Можно пойти путём исключения... Идентификатор? Нет. Ключевое слово? Нет. Пробельный символ? Тоже нет... Но программисты ныне не способны логически думать.

Есть ли в Си синтаксис?

Хороший вопрос. Учитывая отборнейший бред, заложенный в язык, синтаксис в нём почти отсутствует.

> Хороший вопрос. Учитывая отборнейший бред, заложенный в язык, синтаксис в нём почти
> отсутствует.

Annex A
(informative)
Language syntax summary

так зависит от контекста.

Если попробовать подумать, как работает абстрактная машина и/или транслятор, окажется, что comma operator и в identifier-list ведётся себя точно так же. Неопределённый порядок вычислений там появился ради оптимизации.

Да.

У раста нет сложности. Вывод сделаешь сам или помочь?

> У раста нет сложности. Вывод сделаешь сам или помочь?

Сделал: Вы придумали, будто бы я заявил "у Раста есть сложность", после чего принялись отрицать свой вымысел.

> И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?

Конечно изменится - нет вордпресса, нет уязвимостей!

Главное переходить сразу rm -rf *, а не как эта ваша мурзила - перепишем-перепишем-перепишем, ой, пук! Сколько там - процентов 5 успели за десять лет, прежде чем их всех выкинули за борт?

> А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать
> Rust?

ты совсем чтоль дурак? Именно затем. Тебе зарплата за эти десять лет, что, не понадобится?
Причем пинком под зад уволить тебя и нанять десять таких же, как с пехепе, нихрена не получится - они следующие десять лет будут либо пытаться понять, что ж ты там такого понакодил, либо "рефакторить" - то есть переписывать с нуля, потому что проще угадать, что делала эта фича, чем понять - как, и что в ней теперь нужно поправить.

> Обновление WordPress 5.6

Обновление Уязвимостей 5.6

"предназначенном для организации отправки писем через SMTP-сервер"
С какого-то xера ведет логи

Вы не ведёте логи вообще ни для чего?
Другое дело, что прежде, чем вести логи, надо думать головой насчёт того, что логгировать, и куда размещать.

обновление 5.6 имеет проблемы совместимости с плагином Classic Editor (или наоборот, как угодно). В зависимости от вашей удачи, могут пропасть отдельные элементы, например, подсветка выделения в ctrl+k, или полная неработоспособность редактора TinyMCE. обновляйтесь аккуратнее, господа.

красава

Просто охренеть... даже культурные слова не находятся...

Вордпресс вроде целиком из дыр состоит бай десинг.

Новость как в виндовс нашли телеметрию короче.

Админю пару сайтов на WP, и стоят эти плагины.
Фишка в том что используется только nginx + php-fpm)
Там файлы не выводятся.

что, и картинки или документы тоже не выводятся? Молодец, все правильно сделал.

> плагин сохранял в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/" файл с отладочным логом, в котором отображалось содержимое всех отправленных писем

Откуда растут руки у этих пейсателей? Зато мега-фреймворки, тонны классов, юнит-тесты, все дела. Вот только всё это бесполезно, когда руки растут оттуда.

Типичные будущие растаманы.

Куча красивых слов и пароли в публичном текстовичке.

А чего тут растоманов нет? В php тоже нет работы с памятью, а дыр больше чем в любом сишном проекте.

Тссс! Не пали источник проблем!

А отключить вывод отладочной информации в установке по умолчанию авторы считают выше своего достоинства?