WordPress SMTP插件中的Zero-day被滥用来重置管理员帐户密码

黑客正在使用安装在500,000多个站点上的流行WordPress插件中的Zero-day漏洞来重置WordPress站点上管理员帐户的密码。

过去几周的攻击使用了零时差，并在星期一进行了修补。

它会影响 Easy WP SMTP，该插件可让网站所有者为其网站的外发电子邮件配置SMTP设置。

据忍者技术网（NinTechNet）的团队称，Easy WP SMTP 1.4.2和较旧版本的插件包含一项功能，可为站点发送的所有电子邮件创建调试日志，然后将其存储在安装文件夹中。

NinTechNet的Jerome Bruandet说： “该插件的文件夹没有任何 index.html 文件，因此，在启用了目录列表的服务器上，黑客可以查找和查看日志 。” 

Bruandet说，在运行该插件漏洞版本的网站上，黑客一直在进行自动攻击，以识别管理员帐户，然后启动密码重置。由于密码重置涉及将带有密码重置链接的电子邮件发送到admin帐户，因此该电子邮件也记录在Easy WP SMTP调试日志中。

攻击者所需要做的就是在重置密码后访问调试日志，获取重置链接，并接管该站点的管理员帐户。

Bruandet在本周一早些时候警告说：“当前正在利用此漏洞，请确保尽快将其更新为最新版本。”

插件的开发人员通过将插件的调试日志移到WordPress日志文件夹中，从而更好地保护了此问题。根据插件的changelog，修复此错误的版本是Easy WP SMTP 1.4.4  。

这标志着在这个非常流行的插件中发现的第二个零时差。第一个零日漏洞被发现于2019年3月被 滥用，当时黑客使用Easy WP SMTP漏洞来启用用户注册，然后创建后门管理员帐户。

好消息是，与2019年3月相比，今天WordPress CMS已收到针对主题和插件的 内置自动更新功能。

于2020年8月添加，随着WordPress 5.5的发布 ，如果启用，此功能将允许插件通过更新自身始终在最新版本上运行，而不必等待管理员按下按钮。

但是，目前尚不清楚有多少个WordPress站点启用了此功能，以及在500,000多个WordPress站点中，有多少当前正在运行最新（已修补）的Easy WP SMTP版本。

根据WordPress.org的统计，该数字并不高，这意味着许多站点仍然容易受到攻击。