Dana 10. siječnja 2024. godine otkrivena je ranjivost zaobilaženja autorizacije u WordPress dodatku "POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP". 

Procjenjuje se da ranjivost zahvaća preko 300 000 web stranica koje imaju instaliran i konfiguriran dodatak "POST SMTP Mailer".
 

Tehnički detalji ključne ranjivosti otklonjene ovim ažuriranjem: 

Ranjivost CVE-2023-6875 (CVSS ocjena 9.8), omogućava neovlašteni pristup podacima i modifikaciju podataka zbog problema s tipizacijom u krajnjoj točci REST aplikacije za povezivanje (engl. connect-app REST endpoint), čime se neovlaštenom napadaču omogućuje ponovno postavljanje ključa aplikacijskog programskog sučelja (engl. Application Programming Interface - API) koji se koristi za autentifikaciju, pristup maileru i pregledavanju dnevničkih zapisa, uključujući elektroničku poštu za ponovno postavljanje lozinke. Navedeno u konačnici može rezultirati preuzimanjem web stranica koje koriste ovaj ranjivi dodatak.

Zahvaćene verzije WordPress dodataka "POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP":

Preporuke: 

Preporučuje se nadogradnja ranjivog WordPress dodatka na zadnju dostupnu verziju koja sadrži potrebne ispravke.

Također se preporučuje praćenje WordPress sigurnosnih obavijesti zbog otkrivanja znakova neovlaštenih promjena, poput umetnutih skripti ili brisanja direktorija.

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 22.1.2024 - 14:54]