The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP, имеющем 500 тысяч установок"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP, имеющем 500 тысяч установок"  +/
Сообщение от opennews (?), 13-Дек-20, 11:51 
В WordPress-плагине Easy WP SMTP, предназначенном для организации отправки писем через SMTP-сервер и насчитывающем более 500 тысяч активных установок, выявлена уязвимость, позволяющая получить полный доступ к сайту с правами администратора. Проблема устранена в выпуске 1.4.4. Примечательно, что разработчики узнали о проблеме после  массовой атаки на сайты  с данным плагином, в ходе которой неизвестные злоумышленника меняли пароль администратора (0-day уязвимость, используемая для атаки до появления исправления)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54250

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –4 +/
Сообщение от hgdslvodf (?), 13-Дек-20, 11:51 
>в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/"

кривая настройка вебсервера и уязвимость плагина всё-таки разные вещи.

>для каталога не было настроено скрытие списка файлов

именно

>добавили файл index.html для запрета просмотра списка файлов

wat?

Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +10 +/
Сообщение от InuYasha (??), 13-Дек-20, 11:53 
Это доисторический рабочий трюк для сокрытия листинга. Сервер просто вернёт этот /dir/index.htm при обращении к /dir/
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от hgdslvodf (?), 13-Дек-20, 11:54 
Спасибо
Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +2 +/
Сообщение от Аноним (39), 13-Дек-20, 20:29 
Вот только по полному пути файл по-прежнему доступен.
По-хорошему надо запрещать запись в /www и разрешать только в специально отведённые папки как то /uploads logs и например в нечто plugins_data куда плагины могут сваливать свой рабочий мусор. Тогда все плагины, которые пишут данные куда попало идут лесом, нормальные плагины пишут куда следует, а инструкция по установке или сам установщик вордпреса на сервер делает нужные разрешения на папки. И проблема аналогичная данной решается для всех нынешних и будущих плагинов.
Ответить | Правка | Наверх | Cообщить модератору

55. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –1 +/
Сообщение от Java omnomnom your memory linux (?), 14-Дек-20, 12:47 
А потом люди ещё удивляются почему php не любят и весь бэк пишут на jvm/.net/etc
Ответить | Правка | Наверх | Cообщить модератору

63. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (63), 14-Дек-20, 20:06 
Всего то лишь не осилили настроить .htaccess или конф nginx
Ответить | Правка | Наверх | Cообщить модератору

67. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от InuYasha (??), 15-Дек-20, 16:14 
А ещё chmod, chown, setfacl, и, для полного счастья - selinux. :)
Ответить | Правка | Наверх | Cообщить модератору

65. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Х (?), 15-Дек-20, 08:43 
Это все же вопрос не к php - веб-сервер при неверно заданных разрешениях вернет файл по пути при любом ЯП. Другое дело, что PHP-сайты часто куда более легковесно настроены, чем все эти ваши явы с их вебом )
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

54. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (54), 14-Дек-20, 10:55 
Только если у сервера index.html настроен в качестве индекс-файла.
Вообще конечно хранить в логах чувствительное содержимое без предупреждения по умолчанию - это полный ппц.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

20. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (20), 13-Дек-20, 15:53 
> кривая настройка вебсервера

сдаётся, то был плагин-троян, чтобы читать почту нерадивых юзероадминов.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +6 +/
Сообщение от InuYasha (??), 13-Дек-20, 11:52 
Нахрена в проде вообще генерить ТАКОЙ лог да ещё и в папку в /www/?!!
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от hgdslvodf (?), 13-Дек-20, 11:58 
WP не даёт ни абстракций ни реализаций для многих полезных вещей. Каждый разработчик городит свои велосипеды.
Ответить | Правка | Наверх | Cообщить модератору

53. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (54), 14-Дек-20, 10:53 
Не включать детальный лог (не включать содержимое) по умолчанию и дать пользователю самому указать путь для хранения логов - это, конечно, уже немножко выше того, что могут современные разработчики, да.
Ответить | Правка | Наверх | Cообщить модератору

56. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Современные разработчики (?), 14-Дек-20, 16:44 
Да мы-то можем. Мы потом не можем объяснить щасливому юзверю, как ему получить дебаг для нас.

Поэтому сделали такой, который мы точно всегда можем прочитать. А что у вас там пароли в почте - ну кто ж знал?!

Мы-то себе прямо в базе всегда меняли...

Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +4 +/
Сообщение от Разработчик (?), 13-Дек-20, 16:00 
А как я его тебе скачаю, если он не будет в www?!


Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

24. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +4 +/
Сообщение от Аноним (20), 13-Дек-20, 16:01 
А зачем тебе качать МОИ логи?!
Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +5 +/
Сообщение от Разработчик (?), 13-Дек-20, 16:06 
> А зачем тебе качать МОИ логи?!

Это не твои логи, это кого надо логи! Ты бы до этой новости даже и не узнал бы, что там есть какие-то логи.


Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +4 +/
Сообщение от Аноним (20), 13-Дек-20, 16:15 
> даже и не узнал бы, что там есть какие-то логи

я по логам веб-сервера узнал, что все кулхацкеры ищут на моём сайте какой-то "вротпресс".

Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +3 +/
Сообщение от Атон (?), 13-Дек-20, 19:32 
дай им то чего они хотят
Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +20 +/
Сообщение от YetAnotherOnanym (ok), 13-Дек-20, 12:16 
> переместили лог в отдельный каталог и добавили сброс содержимого при каждой активации плагина

Они прямо-таки постигли дзен логирования: очистка логов при перезапуске - это как раз то, что нужно для разбора полётов в случае проблем.

Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +3 +/
Сообщение от Аноним (20), 13-Дек-20, 15:56 
Просто цель была другая: троян, а не плагин.
Ответить | Правка | Наверх | Cообщить модератору

64. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от gogo (?), 15-Дек-20, 02:36 
А я вот не постиг.
Про какую АКТИВАЦИЮ плагина они говорят? Когда его включают-выключают в панели ВП? Или при рестарте сессии, демона? Или после каждой отсылки письма?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +8 +/
Сообщение от Аноним (9), 13-Дек-20, 14:07 
Самое интересное, что проблемы безопасности в таких случаях очень показательны.
Не сложные ошибки, эксплуатирующиеся по сторонним каналам, не проблемы самого языка, не какие-то интересные сбои.

Нет.

Так, халатность и разгильдяйство, самое дно того качества кода, что вообще может быть написан на PHP, и уже до такой степени показательно, что WP стал чудесной антирекламой языку.


Это удручает, и это отвратительно.

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –1 +/
Сообщение от Аноним (11), 13-Дек-20, 14:18 
Смысл экономии в том чтобы дать минимально допустимое качество.
Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +2 +/
Сообщение от Аноним (20), 13-Дек-20, 15:57 
> минимально допустимое качество

Это недопустимое качество.

Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +5 +/
Сообщение от Разработчик (?), 13-Дек-20, 16:01 
Пятьсот тысяч установок!

Поучи нас еще, какое качество допустимое.

Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +2 +/
Сообщение от Аноним (20), 13-Дек-20, 16:18 
Снимаю перед Вами шляпу... Столько экземпляров трояна поставить!
Ответить | Правка | Наверх | Cообщить модератору

68. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от InuYasha (??), 15-Дек-20, 16:21 
> Снимаю перед Вами шляпу...

Ви, таки, непrавильно снимаете шляпу!
Успешные разработчики снимают её ради того лишь, чтобы в неё посыпались донатики )

Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (32), 13-Дек-20, 16:52 
Скоро на раст перепишут и все наладится
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

33. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +4 +/
Сообщение от Аноним (20), 13-Дек-20, 17:26 
Боюсь даже представить, какие тупейшие ошибки будут совершать растаманы, пишущие вротпресс.
Ответить | Правка | Наверх | Cообщить модератору

44. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноньимъ (ok), 14-Дек-20, 02:53 
Наоборот, ВП главная реклама.

Имхо, не стоит фантазировать много на счёт пхп. Его единственная цель быть простым как инструмент и понятным даже Алле Пугачевой.

Вордпресс вершина на самом деле для ПХП. ЦМС для всех и каждого. Подключай плугины правь на коленке.

Безопасность качество скорость никогда речи об этом не шло с пхп.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

51. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (54), 14-Дек-20, 10:51 
Да, WP ныне - это почти худшее, что написано на PHP за всё время его существования.
Хуже наверное только друпал с жумлой.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (11), 13-Дек-20, 14:16 
И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?
Ответ: Нет.
А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать Rust?
Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +3 +/
Сообщение от неРастНеСиНеСекта (?), 13-Дек-20, 14:46 
Новость про PHP и WP, про уязвимости в WP. Зачем ты сюда принес раст? Чтобы говно развести?

Или у сишников так горит от раста, что они каждый день живут с мыслю о том, какое он говно, и считают своим долгом заставить всех других так думать?

Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –1 +/
Сообщение от Аноним (13), 13-Дек-20, 14:52 
Дак тут по моему 1,5 поехавших в любой новости вспоминают раст. Я вообще не уверен что они хотя бы на баше скриптик напишут, просто с голой проблемы, не обращайте внимания
Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (11), 13-Дек-20, 15:05 
Уверен что твой Вордпресс полон дыр.
Ответить | Правка | Наверх | Cообщить модератору

41. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (13), 13-Дек-20, 23:03 
Он не мой, а общий
Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (11), 13-Дек-20, 15:02 
Не все же одному Фракталу тут растофикалии развозить.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

16. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от n00by (ok), 13-Дек-20, 15:07 
> И что думаете если Wordpress перейдет на Rust, что-то изменится в плане
> уязвимостей?

Сложность языка повышает порог вхождения. Вывод сделаете, или помочь?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

17. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –1 +/
Сообщение от Аноним (17), 13-Дек-20, 15:12 
Надо срочно перейти на плюсы, а то руст одних жс-обезьян приманивает. Вот тогда заживём!
Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от n00by (ok), 13-Дек-20, 15:52 
Является ли знак , (запятая) оператором в C?

Да - 29,56%
Нет - 54,01%
Узнать результаты - 16.42%

Проголосовали 274 человека


Ответить | Правка | Наверх | Cообщить модератору

28. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (17), 13-Дек-20, 16:09 
Лол, ну то такое, может опрос и не среди программистов вовсе. Чисто логически можно спросить себя "а что это в таком случае, для си?", правда, тут тоже потребуется знание синтаксиса как минимум.
Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (20), 13-Дек-20, 16:21 
> а что это в таком случае

Можно пойти путём исключения... Идентификатор? Нет. Ключевое слово? Нет. Пробельный символ? Тоже нет... Но программисты ныне не способны логически думать.

Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +2 +/
Сообщение от Аноньимъ (ok), 14-Дек-20, 02:47 
Есть ли в Си синтаксис?
Ответить | Правка | Наверх | Cообщить модератору

46. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (20), 14-Дек-20, 07:53 
Хороший вопрос. Учитывая отборнейший бред, заложенный в язык, синтаксис в нём почти отсутствует.
Ответить | Правка | Наверх | Cообщить модератору

48. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от n00by (ok), 14-Дек-20, 09:30 
> Хороший вопрос. Учитывая отборнейший бред, заложенный в язык, синтаксис в нём почти
> отсутствует.

Annex A
(informative)
Language syntax summary

Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (38), 13-Дек-20, 19:36 
так зависит от контекста.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

47. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от n00by (ok), 14-Дек-20, 09:27 
Если попробовать подумать, как работает абстрактная машина и/или транслятор, окажется, что comma operator и в identifier-list ведётся себя точно так же. Неопределённый порядок вычислений там появился ради оптимизации.
Ответить | Правка | Наверх | Cообщить модератору

45. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от anonimous (?), 14-Дек-20, 05:30 
Да.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

59. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (59), 14-Дек-20, 18:35 
У раста нет сложности. Вывод сделаешь сам или помочь?
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

66. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от n00by (ok), 15-Дек-20, 09:38 
> У раста нет сложности. Вывод сделаешь сам или помочь?

Сделал: Вы придумали, будто бы я заявил "у Раста есть сложность", после чего принялись отрицать свой вымысел.

Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +3 +/
Сообщение от Разработчик (?), 13-Дек-20, 16:05 
> И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?

Конечно изменится - нет вордпресса, нет уязвимостей!

Главное переходить сразу rm -rf *, а не как эта ваша мурзила - перепишем-перепишем-перепишем, ой, пук! Сколько там - процентов 5 успели за десять лет, прежде чем их всех выкинули за борт?

> А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать
> Rust?

ты совсем чтоль дурак? Именно затем. Тебе зарплата за эти десять лет, что, не понадобится?
Причем пинком под зад уволить тебя и нанять десять таких же, как с пехепе, нихрена не получится - они следующие десять лет будут либо пытаться понять, что ж ты там такого понакодил, либо "рефакторить" - то есть переписывать с нуля, потому что проще угадать, что делала эта фича, чем понять - как, и что в ней теперь нужно поправить.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

18. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +4 +/
Сообщение от Аноним (20), 13-Дек-20, 15:23 
> Обновление WordPress 5.6

Обновление Уязвимостей 5.6

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –2 +/
Сообщение от КО (?), 13-Дек-20, 18:18 
"предназначенном для организации отправки писем через SMTP-сервер"
С какого-то xера ведет логи
Ответить | Правка | Наверх | Cообщить модератору

52. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (54), 14-Дек-20, 10:52 
Вы не ведёте логи вообще ни для чего?
Другое дело, что прежде, чем вести логи, надо думать головой насчёт того, что логгировать, и куда размещать.
Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (35), 13-Дек-20, 18:32 
обновление 5.6 имеет проблемы совместимости с плагином Classic Editor (или наоборот, как угодно). В зависимости от вашей удачи, могут пропасть отдельные элементы, например, подсветка выделения в ctrl+k, или полная неработоспособность редактора TinyMCE. обновляйтесь аккуратнее, господа.
Ответить | Правка | Наверх | Cообщить модератору

36. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (38), 13-Дек-20, 19:21 
красава
Ответить | Правка | Наверх | Cообщить модератору

40. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Ilya Indigo (ok), 13-Дек-20, 21:18 
Просто охренеть... даже культурные слова не находятся...
Ответить | Правка | Наверх | Cообщить модератору

42. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –2 +/
Сообщение от Аноньимъ (ok), 14-Дек-20, 01:05 
Вордпресс вроде целиком из дыр состоит бай десинг.

Новость как в виндовс нашли телеметрию короче.

Ответить | Правка | Наверх | Cообщить модератору

49. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  –1 +/
Сообщение от qweqwe (?), 14-Дек-20, 09:57 
Админю пару сайтов на WP, и стоят эти плагины.
Фишка в том что используется только nginx + php-fpm)
Там файлы не выводятся.
Ответить | Правка | Наверх | Cообщить модератору

57. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от грмхм (?), 14-Дек-20, 16:47 
что, и картинки или документы тоже не выводятся? Молодец, все правильно сделал.

Ответить | Правка | Наверх | Cообщить модератору

50. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +2 +/
Сообщение от Аноним (54), 14-Дек-20, 10:49 
> плагин сохранял в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/" файл с отладочным логом, в котором отображалось содержимое всех отправленных писем

Откуда растут руки у этих пейсателей? Зато мега-фреймворки, тонны классов, юнит-тесты, все дела. Вот только всё это бесполезно, когда руки растут оттуда.

Ответить | Правка | Наверх | Cообщить модератору

61. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (20), 14-Дек-20, 19:18 
Типичные будущие растаманы.
Ответить | Правка | Наверх | Cообщить модератору

62. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (20), 14-Дек-20, 19:18 
Куча красивых слов и пароли в публичном текстовичке.
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

58. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +1 +/
Сообщение от Аноним (59), 14-Дек-20, 18:33 
А чего тут растоманов нет? В php тоже нет работы с памятью, а дыр больше чем в любом сишном проекте.
Ответить | Правка | Наверх | Cообщить модератору

60. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от Аноним (20), 14-Дек-20, 19:16 
Тссс! Не пали источник проблем!
Ответить | Правка | Наверх | Cообщить модератору

69. "Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP,..."  +/
Сообщение от mickvav (?), 15-Дек-20, 16:48 
А отключить вывод отладочной информации в установке по умолчанию авторы считают выше своего достоинства?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру