Computer >> कंप्यूटर >  >> नेटवर्किंग >> नेटवर्क सुरक्षा

वर्डप्रेस प्लगइन में खोजी गई SQL इंजेक्शन भेद्यता - WP सांख्यिकी

वर्डप्रेस , 1 अरब से अधिक वेबसाइटों को सशक्त बनाने वाला बाजीगर सीएमएस, जिनमें से सबसे उल्लेखनीय हैं टेकक्रंच, द न्यू यॉर्कर, सोनी और एमटीवी, कई अन्य के बीच, वेबसाइट सुरक्षा के मामले में कमजोरियों से रहित नहीं है। हाल ही में, इसके सबसे लोकप्रिय प्लगइन्स में से एक, WP सांख्यिकी, को त्रुटिपूर्ण माना गया, जिससे लगभग 300,000 वेबसाइटें हमलावरों द्वारा ऑनलाइन शोषण के लिए खुली हुई हैं।

प्लगइन WP सांख्यिकी को हाल ही में SQL इंजेक्शन दोष के प्रति संवेदनशील पाया गया है। जिसका शोषण एक दूरस्थ हमलावर, एक ग्राहक खाते के साथ, वेबसाइट के डेटाबेस से संवेदनशील जानकारी चुरा सकता है और संभवतः वेबसाइटों तक अनधिकृत पहुंच प्राप्त कर सकता है। भेद्यता को 'गंभीर' करार दिया गया है।

तकनीकी विवरण

SQL इंजेक्शन एक वेब एप्लिकेशन कदाचार को संदर्भित करता है जहां हैकर्स डेटाबेस सामग्री को चुराने के एकमात्र उद्देश्य के साथ उपयोगकर्ता इनपुट में एक संरचित क्वेरी भाषा (SQL) कोड इंजेक्ट करते हैं। wp_statistics_searchengine_query() सहित WP सांख्यिकी प्लगइन में कई कार्यों में भेद्यता रहती है ।

वर्डप्रेस प्लगइन में खोजी गई SQL इंजेक्शन भेद्यता - WP सांख्यिकी

उपरोक्त शोर्टकोड को कॉल करके, व्यवस्थापक उपयोगकर्ता विज़िट की संख्या के बारे में विस्तृत जानकारी प्राप्त कर सकते हैं। जबकि शोर्ट की कुछ विशेषताओं को महत्वपूर्ण कार्यों के लिए पैरामीटर के रूप में पारित किया जा रहा है, इन कार्यों के लिए इनपुट को स्वच्छ करना आवश्यक हो जाता है। लेकिन इसके विपरीत, कार्य wp_statistics_searchengine_query() कोर फंक्शन wp_ajax_parse_media_shortcode() की बदौलत वर्डप्रेस की AJAX कार्यक्षमता के माध्यम से पहुँचा जा सकता है ।

समस्या प्रपत्र प्रश्नों में डालने के बाद डेटा को ठीक से साफ करने में सॉफ़्टवेयर की अक्षमता से उत्पन्न होती है। वर्डप्रेस डेवलपर्स को ऐसी सामग्री बनाने की अनुमति देता है जिसे शोर्टकोड का उपयोग करके पृष्ठों में इंजेक्ट किया जा सकता है। यह निम्नलिखित WP सांख्यिकी शोर्ट के साथ एक समस्या बन जाती है:

[शोर्टकोड atts_1="परीक्षण" atts_2="परीक्षण"]

तुरंत अपडेट करें

प्लगइन्स वर्डप्रेस आधारित वेबसाइटों को कई प्रकार की कार्यक्षमता प्रदान करते हैं। इस तरह की कमजोरियां एक बड़े मुद्दे का प्रतीक हैं। तेजी से रिलीज करने और बाजार में पहले कार्यात्मकता लाने के लिए, यह अक्सर एप्लिकेशन के सुरक्षा पहलू को बंद कर देता है। वर्डप्रेस सुरक्षा आज एक गंभीर मुद्दा है।

एकमात्र सुधार नवीनतम संस्करण में तुरंत अपडेट करना है। अपनी वर्डप्रेस वेबसाइट को सुरक्षित करने और संभावित खतरों के लिए ऑडिट करने के लिए, एस्ट्रा वर्डप्रेस सिक्योरिटी पर जाएं।


  1. वर्डप्रेस प्लगइन रिच रिव्यू पर हमला हो रहा है; XSS के रूप में पहचानी गई भेद्यता

    रिच समीक्षा प्लगइन के अंदर एक गंभीर XSS भेद्यता का खुलासा किया गया है। एक अनुमान यह है कि प्लगइन रिच रिव्यू के 16,000 से अधिक सक्रिय डाउनलोड हैं। महत्वपूर्ण होने के बावजूद, भेद्यता की खोज आश्चर्यजनक नहीं है, इस तथ्य को देखते हुए कि प्लगइन को दो वर्षों से अधिक समय में अपडेट नहीं किया गया है। वास्तव

  1. GiveWP प्लगइन में प्रमाणीकरण बायपास भेद्यता मिली - तुरंत अपडेट करें

    प्लगइन का नाम:GiveWP भेद्यता:सूचना प्रकटीकरण के साथ प्रमाणीकरण बाईपास प्रभावित संस्करण:<=2.5.4 पैच किया गया संस्करण:2.5.5 कुछ ही हफ्ते पहले, 70,000 से अधिक वेबसाइटों पर स्थापित वर्डप्रेस प्लगइन, गिवडब्ल्यूपी में एक भेद्यता का पता चला था। एक उच्च-सुरक्षा समस्या के रूप में माना जाता है, यह भेद्य

  1. WPForms प्लगइन 1.5.9 में XSS भेद्यता पाई गई - तुरंत अपडेट करें

    जब मैं प्लगइन का ऑडिट कर रहा था तब WPForms प्लगइन संस्करण 1.5.8.2 और नीचे प्रमाणित संग्रहीत XSS के लिए असुरक्षित पाया गया। बेहतर डेटा सैनिटाइजेशन के साथ WPForms संस्करण 1.5.9 5 मार्च, 2020 को जारी किया गया था। सीवीई आईडी: सीवीई-2020-10385 सारांश WPForms 3 मिलियन से अधिक सक्रिय इंस्टॉलेशन के साथ ए