একটি জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন যা ওয়েবসাইট প্রশাসকদের রক্ষণাবেক্ষণ এবং রক্ষণাবেক্ষণের ক্রিয়াকলাপগুলিতে সহায়তা করে তা অত্যন্ত is শোষণের জন্য ঝুঁকিপূর্ণ । সহজেই ম্যানিপুলেটেড, প্লাগইনটি সম্পূর্ণ ওয়েবসাইট নিষ্ক্রিয় রেন্ডার করতে ব্যবহার করা যেতে পারে বা আক্রমণকারীরা অ্যাডমিন সুবিধার সাথে একই জিনিসটি নিতে পারে। জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইনের মধ্যে থাকা সুরক্ষা ত্রুটিটিকে ‘সমালোচক’ হিসাবে ট্যাগ করা হয়েছে এবং একটি সর্বোচ্চ সিভিএসএস স্কোর দেওয়া হয়েছে।
অনুমোদিত প্রশাসকদের ন্যূনতম নজরদারি সহ একটি ওয়ার্ডপ্রেস প্লাগইন ব্যবহার করা যেতে পারে। দুর্বলতা দৃশ্যত ডেটাবেস ফাংশন সম্পূর্ণরূপে অনিরাপদ ছেড়ে দেয়। এর অর্থ কোনও ব্যবহারকারীর প্রমাণীকরণ ছাড়াই সম্ভাব্য যে কোনও ডেটাবেস টেবিলগুলি পুনরায় সেট করতে পারবেন। যোগ করার দরকার নেই, এর অর্থ পোস্ট, মন্তব্য, পুরো পৃষ্ঠা, ব্যবহারকারী এবং তাদের আপলোড করা সামগ্রীগুলি কয়েক সেকেন্ডের মধ্যে সহজেই মুছে ফেলা যায়।
ওয়ার্ডপ্রেস প্লাগইন ‘ডাব্লুপি ডাটাবেস রিসেট’ ওয়েবসাইট টেকওভার বা সরিয়ে নেওয়ার জন্য সহজ শোষণ এবং ম্যানিপুলেশনের পক্ষে ক্ষতিগ্রস্থ:
নামটি থেকে বোঝা যায়, ডাব্লুপি ডাটাবেস রিসেট প্লাগইন ডাটাবেসগুলি রিসেট করতে ব্যবহৃত হয়। ওয়েবসাইট প্রশাসকরা পূর্ণ বা আংশিক পুনরায় সেট করার মধ্যে চয়ন করতে পারেন। এমনকি তারা নির্দিষ্ট টেবিলের উপর ভিত্তি করে একটি রিসেট অর্ডার করতে পারে। প্লাগইনের সবচেয়ে বড় সুবিধাটি হ'ল সুবিধা। প্লাগইন স্ট্যান্ডার্ড ওয়ার্ডপ্রেস ইনস্টলেশন এর শ্রমসাধ্য কাজ এড়ানো।
ওয়ার্ডপ্রেস প্লাগইন ডাব্লুপি ডেটাবেস রিসেটটিতে একটি শোষণযোগ্য সুরক্ষা ইস্যু রয়েছে যা দুর্বল ওয়েবসাইটগুলি দখল করতে ব্যবহার করা যেতে পারে contain অনুযায়ী # ওয়ার্ডপ্রেস লাইব্রেরি, প্লাগইন ৮০,০০০ এরও বেশি ওয়েবসাইটে সক্রিয়। আজ প্লাগইন আপডেট করুন। https://t.co/xrCjyVPvzY
- ভিজিল্যান্ট টেকনোলজিস (@ ভিজিলেন্টক্লাউড) 17 জানুয়ারী 2020
দ্য ওয়ার্ডফেন্স সুরক্ষা দল যা ত্রুটিগুলি অনাবৃত করেছিল, ইঙ্গিত করেছিল যে ডাব্লুপি ডেটাবেস রিসেট প্লাগইনের মধ্যে দুটি গুরুতর দুর্বলতা জানুয়ারী 7. তারিখে পাওয়া গেছে। দুর্বলতার যে কোনওটি একটি সম্পূর্ণ ওয়েবসাইট পুনরায় সেট করতে বাধ্য করতে বা একইরকম টেকওভার হিসাবে ব্যবহার করা যেতে পারে।
প্রথম দুর্বলতা হিসাবে ট্যাগ করা হয়েছে CVE-2020-7048 এবং একটি সিভিএসএস স্কোর 9.1 জারি করেছে। এই ত্রুটিটি ডাটাবেস রিসেট ফাংশনে বিদ্যমান। স্পষ্টতই, কোনও কার্য কোনও তদন্ত, প্রমাণীকরণ বা সুবিধাগুলির যাচাইয়ের মাধ্যমে সুরক্ষিত হয়নি। এর অর্থ কোনও ব্যবহারকারী প্রমাণীকরণ ছাড়াই যে কোনও ডেটাবেস টেবিলগুলি চান তাদের পুনরায় সেট করতে পারে। ব্যবহারকারীকে কেবল ডাব্লুপি ডাটাবেস রিসেট প্লাগইনের জন্য একটি সাধারণ কল অনুরোধ জানাতে হয়েছিল এবং কার্যকরভাবে পৃষ্ঠা, পোস্ট, মন্তব্য, ব্যবহারকারী, আপলোড করা সামগ্রী এবং আরও অনেক কিছু মুছতে পারে।
https://t.co/zcP3OPb8N5
- গীকওয়্যার সিকিউরিটি (@ জিজিওয়ায়ারসেক) 17 জানুয়ারী 2020
দ্বিতীয় সুরক্ষা দুর্বলতা হিসাবে ট্যাগ করা হয়েছে সিভিই -2020-7047 এবং একটি সিভিএসএস স্কোর 8.1 জারি করেছে। প্রথমটির তুলনায় কিছুটা কম স্কোর হলেও দ্বিতীয় ত্রুটি সমান বিপজ্জনক। এই সুরক্ষা ত্রুটি যে কোনও প্রমাণীকৃত ব্যবহারকারীকে কেবল godশ্বর-স্তরের প্রশাসনিক সুযোগ-সুবিধা দেয় না, 'অন্য সমস্ত ব্যবহারকারীদের একটি সাধারণ অনুরোধের সাথে টেবিল থেকে বাদ দেয়'। শোকজনকভাবে, ব্যবহারকারীর অনুমতি স্তরের কোনও বিষয় নেই। একই কথা বলতে গিয়ে ওয়ার্ডফেন্সের ক্লো চেম্বারল্যান্ড বলেছিল,
'যখনই ডাব্লুপি_উজারস টেবিলটি পুনরায় সেট করা হয়েছিল, এটি বর্তমানে লগ ইন থাকা ব্যবহারকারী ব্যতীত কোনও প্রশাসক সহ ব্যবহারকারী টেবিল থেকে সমস্ত ব্যবহারকারীকে বাদ দিয়েছে। অনুরোধ প্রেরণকারী ব্যবহারকারী প্রশাসককে স্বয়ংক্রিয়ভাবে বাড়িয়ে তোলা হবে, এমনকি তারা কেবল গ্রাহক হলেও। '
https://t.co/tjKkqkNEsR
- গীকওয়্যার সিকিউরিটি (@ জিজিওয়ায়ারসেক) 17 জানুয়ারী 2020
একমাত্র প্রশাসক হিসাবে ব্যবহারকারী অবশ্যই একটি দুর্বল ওয়েবসাইট হাইজ্যাক করে কার্যকরভাবে কন্টেন্ট ম্যানেজমেন্ট সিস্টেমের (সিএমএস) সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে পারে। সুরক্ষা গবেষকদের মতে, ডাব্লুপি ডাটাবেস রিসেট প্লাগইনটির বিকাশকারীকে সতর্ক করা হয়েছে, এবং দুর্বলতার জন্য একটি প্যাচ এই সপ্তাহে মোতায়েন করার কথা ছিল।
প্যাচগুলি অন্তর্ভুক্ত সহ ডাব্লুপি ডাটাবেস রিসেট প্লাগইনের সর্বশেষ সংস্করণটি 3.15। গুরুতর সুরক্ষা ঝুঁকির পাশাপাশি স্থায়ী ডেটা অপসারণের উচ্চ সম্ভাবনাগুলি দেওয়া, প্রশাসকদের অবশ্যই প্লাগইন আপডেট করতে হবে বা এটি সম্পূর্ণরূপে অপসারণ করতে হবে। বিশেষজ্ঞদের মতে, প্রায় 80,000 ওয়েবসাইটে ডাব্লুপি ডাটাবেস রিসেট প্লাগইন ইনস্টল এবং সক্রিয় রয়েছে। যাইহোক, এই ওয়েবসাইটগুলির মধ্যে 5 শতাংশের বেশি কিছু আপগ্রেড সম্পাদন করেছে বলে মনে হয়।
ট্যাগ সাইবার নিরাপত্তা ওয়ার্ডপ্রেস