জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন শোষণের পক্ষে ক্ষতিগ্রস্থ এবং সম্পূর্ণ ওয়েবসাইট হাইজ্যাক করতে ব্যবহার করা যেতে পারে, নিরাপত্তা বিশেষজ্ঞদের সতর্ক করে দেয়

খবর
সুরক্ষা / জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন শোষণের পক্ষে ক্ষতিগ্রস্থ এবং সম্পূর্ণ ওয়েবসাইট হাইজ্যাক করতে ব্যবহার করা যেতে পারে, নিরাপত্তা বিশেষজ্ঞদের সতর্ক করে দেয় 2 মিনিট পড়া

একটি জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন যা ওয়েবসাইট প্রশাসকদের রক্ষণাবেক্ষণ এবং রক্ষণাবেক্ষণের ক্রিয়াকলাপগুলিতে সহায়তা করে তা অত্যন্ত is শোষণের জন্য ঝুঁকিপূর্ণ । সহজেই ম্যানিপুলেটেড, প্লাগইনটি সম্পূর্ণ ওয়েবসাইট নিষ্ক্রিয় রেন্ডার করতে ব্যবহার করা যেতে পারে বা আক্রমণকারীরা অ্যাডমিন সুবিধার সাথে একই জিনিসটি নিতে পারে। জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইনের মধ্যে থাকা সুরক্ষা ত্রুটিটিকে ‘সমালোচক’ হিসাবে ট্যাগ করা হয়েছে এবং একটি সর্বোচ্চ সিভিএসএস স্কোর দেওয়া হয়েছে।



অনুমোদিত প্রশাসকদের ন্যূনতম নজরদারি সহ একটি ওয়ার্ডপ্রেস প্লাগইন ব্যবহার করা যেতে পারে। দুর্বলতা দৃশ্যত ডেটাবেস ফাংশন সম্পূর্ণরূপে অনিরাপদ ছেড়ে দেয়। এর অর্থ কোনও ব্যবহারকারীর প্রমাণীকরণ ছাড়াই সম্ভাব্য যে কোনও ডেটাবেস টেবিলগুলি পুনরায় সেট করতে পারবেন। যোগ করার দরকার নেই, এর অর্থ পোস্ট, মন্তব্য, পুরো পৃষ্ঠা, ব্যবহারকারী এবং তাদের আপলোড করা সামগ্রীগুলি কয়েক সেকেন্ডের মধ্যে সহজেই মুছে ফেলা যায়।

ওয়ার্ডপ্রেস প্লাগইন ‘ডাব্লুপি ডাটাবেস রিসেট’ ওয়েবসাইট টেকওভার বা সরিয়ে নেওয়ার জন্য সহজ শোষণ এবং ম্যানিপুলেশনের পক্ষে ক্ষতিগ্রস্থ:

নামটি থেকে বোঝা যায়, ডাব্লুপি ডাটাবেস রিসেট প্লাগইন ডাটাবেসগুলি রিসেট করতে ব্যবহৃত হয়। ওয়েবসাইট প্রশাসকরা পূর্ণ বা আংশিক পুনরায় সেট করার মধ্যে চয়ন করতে পারেন। এমনকি তারা নির্দিষ্ট টেবিলের উপর ভিত্তি করে একটি রিসেট অর্ডার করতে পারে। প্লাগইনের সবচেয়ে বড় সুবিধাটি হ'ল সুবিধা। প্লাগইন স্ট্যান্ডার্ড ওয়ার্ডপ্রেস ইনস্টলেশন এর শ্রমসাধ্য কাজ এড়ানো।



কিভাবে উইন্ডোজ মিডিয়া প্লেয়ারকে ডিফল্ট করা যায়

দ্য ওয়ার্ডফেন্স সুরক্ষা দল যা ত্রুটিগুলি অনাবৃত করেছিল, ইঙ্গিত করেছিল যে ডাব্লুপি ডেটাবেস রিসেট প্লাগইনের মধ্যে দুটি গুরুতর দুর্বলতা জানুয়ারী 7. তারিখে পাওয়া গেছে। দুর্বলতার যে কোনওটি একটি সম্পূর্ণ ওয়েবসাইট পুনরায় সেট করতে বাধ্য করতে বা একইরকম টেকওভার হিসাবে ব্যবহার করা যেতে পারে।

প্রথম দুর্বলতা হিসাবে ট্যাগ করা হয়েছে CVE-2020-7048 এবং একটি সিভিএসএস স্কোর 9.1 জারি করেছে। এই ত্রুটিটি ডাটাবেস রিসেট ফাংশনে বিদ্যমান। স্পষ্টতই, কোনও কার্য কোনও তদন্ত, প্রমাণীকরণ বা সুবিধাগুলির যাচাইয়ের মাধ্যমে সুরক্ষিত হয়নি। এর অর্থ কোনও ব্যবহারকারী প্রমাণীকরণ ছাড়াই যে কোনও ডেটাবেস টেবিলগুলি চান তাদের পুনরায় সেট করতে পারে। ব্যবহারকারীকে কেবল ডাব্লুপি ডাটাবেস রিসেট প্লাগইনের জন্য একটি সাধারণ কল অনুরোধ জানাতে হয়েছিল এবং কার্যকরভাবে পৃষ্ঠা, পোস্ট, মন্তব্য, ব্যবহারকারী, আপলোড করা সামগ্রী এবং আরও অনেক কিছু মুছতে পারে।

দ্বিতীয় সুরক্ষা দুর্বলতা হিসাবে ট্যাগ করা হয়েছে সিভিই -2020-7047 এবং একটি সিভিএসএস স্কোর 8.1 জারি করেছে। প্রথমটির তুলনায় কিছুটা কম স্কোর হলেও দ্বিতীয় ত্রুটি সমান বিপজ্জনক। এই সুরক্ষা ত্রুটি যে কোনও প্রমাণীকৃত ব্যবহারকারীকে কেবল godশ্বর-স্তরের প্রশাসনিক সুযোগ-সুবিধা দেয় না, 'অন্য সমস্ত ব্যবহারকারীদের একটি সাধারণ অনুরোধের সাথে টেবিল থেকে বাদ দেয়'। শোকজনকভাবে, ব্যবহারকারীর অনুমতি স্তরের কোনও বিষয় নেই। একই কথা বলতে গিয়ে ওয়ার্ডফেন্সের ক্লো চেম্বারল্যান্ড বলেছিল,

'যখনই ডাব্লুপি_উজারস টেবিলটি পুনরায় সেট করা হয়েছিল, এটি বর্তমানে লগ ইন থাকা ব্যবহারকারী ব্যতীত কোনও প্রশাসক সহ ব্যবহারকারী টেবিল থেকে সমস্ত ব্যবহারকারীকে বাদ দিয়েছে। অনুরোধ প্রেরণকারী ব্যবহারকারী প্রশাসককে স্বয়ংক্রিয়ভাবে বাড়িয়ে তোলা হবে, এমনকি তারা কেবল গ্রাহক হলেও। '

গৌরবময় মডেল ও পর্যালোচনা

একমাত্র প্রশাসক হিসাবে ব্যবহারকারী অবশ্যই একটি দুর্বল ওয়েবসাইট হাইজ্যাক করে কার্যকরভাবে কন্টেন্ট ম্যানেজমেন্ট সিস্টেমের (সিএমএস) সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে পারে। সুরক্ষা গবেষকদের মতে, ডাব্লুপি ডাটাবেস রিসেট প্লাগইনটির বিকাশকারীকে সতর্ক করা হয়েছে, এবং দুর্বলতার জন্য একটি প্যাচ এই সপ্তাহে মোতায়েন করার কথা ছিল।

প্যাচগুলি অন্তর্ভুক্ত সহ ডাব্লুপি ডাটাবেস রিসেট প্লাগইনের সর্বশেষ সংস্করণটি 3.15। গুরুতর সুরক্ষা ঝুঁকির পাশাপাশি স্থায়ী ডেটা অপসারণের উচ্চ সম্ভাবনাগুলি দেওয়া, প্রশাসকদের অবশ্যই প্লাগইন আপডেট করতে হবে বা এটি সম্পূর্ণরূপে অপসারণ করতে হবে। বিশেষজ্ঞদের মতে, প্রায় 80,000 ওয়েবসাইটে ডাব্লুপি ডাটাবেস রিসেট প্লাগইন ইনস্টল এবং সক্রিয় রয়েছে। যাইহোক, এই ওয়েবসাইটগুলির মধ্যে 5 শতাংশের বেশি কিছু আপগ্রেড সম্পাদন করেছে বলে মনে হয়।

ট্যাগ সাইবার নিরাপত্তা ওয়ার্ডপ্রেস