ওয়ার্ডপ্রেস প্লেইনভিউ ক্রিয়াকলাপ পর্যবেক্ষণ v20161228 এবং এর আগে কমান্ড ইনজেকশন দুর্বলতা

সুরক্ষা / ওয়ার্ডপ্রেস প্লেইনভিউ ক্রিয়াকলাপ পর্যবেক্ষণ v20161228 এবং এর আগে কমান্ড ইনজেকশন দুর্বলতা 1 মিনিট পঠিত

ওয়ার্ডপ্রেস



প্রখ্যাত ব্যক্তিগত ব্লগিং এবং ওয়েবসাইট তৈরির পরিচালনা প্ল্যাটফর্ম: ওয়ার্ডপ্রেসে একটি কমান্ড ইঞ্জেকশন দুর্বলতা পাওয়া গেছে। প্লেইনভিউ অ্যাক্টিভিটি মনিটরের ওয়ার্ডপ্রেস প্লাগইন উপাদানটিতে দুর্বলতা বিদ্যমান ছিল এবং এটি সিভিই-2018-15877 এর একটি সিভিই সনাক্তকারী নির্ধারিত হয়েছে।

ওয়ার্ডপ্রেসের জন্য প্লেইনভিউ অ্যাক্টিভিটি মনিটর প্লাগইনে পাওয়া কমান্ড ইনজেকশন দুর্বলতা এটিকে দূর থেকে হ্যাক করা সিস্টেমে কোনও হ্যাকড সিস্টেমে কমান্ড সম্পাদনকারী দূরবর্তী আক্রমণকারীকে সরবরাহ করার গুরুতর ঝুঁকির মধ্যে ফেলে। দূষিত কমান্ডগুলি পরিষেবাটির প্রবাহে বিশেষত আইপি প্যারামিটারের মাধ্যমে এবং ক্রিয়াকলাপগুলি_ওরভিউ.এফপিতে অযোগ্য তথ্য নিক্ষেপ করে।



উল্লিখিত উপাদানটিতে এই কমান্ডের ইনজেকশন দুর্বলতা তার নিজের থেকে দূরবর্তীভাবে শোষণযোগ্য নয়। দুর্ভাগ্যক্রমে, ওয়ার্ডপ্রেসে একই উপাদান প্লাগইনটি অন্য দুটি দুর্বলতায় ভুগছে: একটি সিএসআরএফ আক্রমণ দুর্বলতা এবং একটি প্রতিফলিত ক্রস সাইট স্ক্রিপ্টিং দুর্বলতা। যখন এই তিনটি দুর্বলতা একসাথে শোষণের জন্য হাতে হাতে কাজ করে, তখন একজন আক্রমণকারী ব্যবহারকারীর ব্যক্তিগত ডেটাতে অযৌক্তিক এবং অননুমোদিত অ্যাক্সেস মঞ্জুর করে দূরবর্তীভাবে অন্য ব্যবহারকারীর সিস্টেমে কমান্ড কার্যকর করতে সক্ষম হয়।



ওয়ার্ডপ্রেস দ্বারা প্রকাশিত গবেষণা বিবরণ অনুসারে, দুর্বলতাটি 25 সালে প্রথম আবিষ্কার করা হয়েছিলতমএই বছরের আগস্ট। একজন সিভিই সনাক্তকারী লেবেল একই দিনে অনুরোধ করা হয়েছিল এবং তারপরে দুর্বলতার পরের দিন একটি বাধ্যতামূলক বিক্রেতার নোটিশের অংশ হিসাবে ওয়ার্ডপ্রেসে জানানো হয়েছিল। ওয়ার্ডপ্রেস উপাদানটি প্লাগ ইন, সংস্করণ 20180826 এর জন্য একটি নতুন সংস্করণ প্রকাশের জন্য তার পায়ে দ্রুত ছিল This এই নতুন সংস্করণটি দুর্বলতার সমাধান করবে বলে আশা করা হচ্ছে যা 20161228 সংস্করণে এবং প্লেনভিউ ক্রিয়াকলাপ মনিটর প্লাগইনের পুরানো সংস্করণে পাওয়া গিয়েছিল।



এই দুর্বলতা সম্পর্কে একটি পোস্টে পুঙ্খানুপুঙ্খভাবে আলোচনা এবং বর্ণনা করা হয়েছিল গিটহাব যেখানে সম্ভাব্য সম্পর্কযুক্ত শোষণের জন্য ধারণার প্রমাণও সরবরাহ করা হয়। উত্থাপিত ঝুঁকিগুলি হ্রাস করতে, ওয়ার্ডপ্রেস ব্যবহারকারীরা তাদের সিস্টেমগুলিতে আপডেট করার জন্য অনুরোধ করা হচ্ছে যে তাদের সিস্টেমে প্লেনভিউ অ্যাক্টিভিটি মনিটর প্লাগইনের নতুন সংস্করণ ব্যবহৃত হচ্ছে।

ট্যাগ ওয়ার্ডপ্রেস