WP लाइव चैट सपोर्ट प्लगइन, 50,000+ से अधिक इंस्टॉल के साथ, फिर से गंभीर भेद्यता के लिए कमजोर पाया गया है जिसे CVE-2019-12498 के रूप में पहचाना गया है , जो किसी भी अनधिकृत उपयोगकर्ता को चैट इतिहास चुराने या वर्तमान चैट सत्रों को हाईजैक करने देता है। संस्करण 8.0.32 और पूर्व संस्करण असुरक्षित हैं। इस लेख में पूर्ण WP लाइव चैट समर्थन शोषण के बारे में पढ़ें।
यह केवल एक महीने पहले की बात है जब WP लाइव चैट सपोर्ट प्लगइन को गंभीर क्रॉस-साइट स्क्रिप्टिंग भेद्यता के प्रति संवेदनशील पाया गया था। कुख्यात कारनामे ने कई वर्डप्रेस वेबसाइटों से समझौता किया था। जिसके बाद वर्डप्रेस ने अस्थायी रूप से किसी भी नए इंस्टॉलेशन के लिए WP लाइव चैट सपोर्ट प्लगइन को निलंबित कर दिया था।
संबंधित लेख – वर्डप्रेस लाइव चैट सपोर्ट प्लगइन में क्रॉस-साइट स्क्रिप्टिंग
तकनीकी विवरण:WP लाइव चैट समर्थन शोषण
शोधकर्ताओं ने खुलासा किया कि प्लगइन में विकृत सत्यापन जांच के कारण भेद्यता उत्पन्न हुई है जो एक अनधिकृत उपयोगकर्ता को आरईएसटी एपीआई कार्यक्षमता तक पहुंचने की अनुमति देता है। और एक प्रमाणीकृत उपयोगकर्ता की शक्तियों के विस्तार के द्वारा। इस प्रकार, वह चैट लॉग को बाहर निकालने और चैट सत्रों में हेरफेर करने में सक्षम है।
register_rest_route यहाँ हैं, चैट स्वीकार करें, चैट समाप्त करें, संदेश भेजें, जैसा कि आप नीचे चित्र में देखेंगे।
त्रुटिपूर्ण wplc_api_permission_check . के कारण यहां कार्य करते हैं, सत्यापन जांच लॉग इन उपयोगकर्ता के लिए अनुमति जांच के लिए "सत्य" लौटाती है, इस प्रकार, लॉग इन नहीं किए गए उपयोगकर्ताओं को कोई भी पहुंच प्रदान करती है।
क्या आपकी वर्डप्रेस वेबसाइट हैक हो गई है? हमें यहां एक संदेश भेजें या अभी हमारे साथ चैट करें, और हमें मदद करने में खुशी होगी ?
जोखिम:WP लाइव चैट समर्थन शोषण
शोधकर्ताओं के अनुसार, WP लाइव चैट समर्थन में कमजोरियों के कारण आपकी वेबसाइट को निम्नलिखित जोखिमों का सामना करना पड़ता है:
- हमलावर सभी चैट सत्रों के लिए संपूर्ण चैट इतिहास निकाल सकता है
- हैकर सक्रिय चैट सत्रों को हाईजैक कर सकता है और अपनी इच्छा से उसमें हेरफेर कर सकता है
- सेवा से इनकार (DoS) हमले के हिस्से के रूप में सक्रिय चैट सत्र अचानक समाप्त किए जा सकते हैं
- इंजेक्ट किए गए संदेशों को संपादित किया जा सकता है ताकि यह छुपाया जा सके कि इंजेक्शन वाले संदेशों में क्या है
क्या आपकी वर्डप्रेस वेबसाइट हैक हो गई है? हमें यहां एक संदेश भेजें या अभी हमारे साथ चैट करें, और हमें मदद करने में खुशी होगी ?
निष्कर्ष:WP लाइव चैट समर्थन शोषण
नवीनतम संस्करण में अपडेट करें
सुरक्षा शोधकर्ताओं द्वारा डेवलपर्स को भेद्यता की सूचना देने के बाद, उन्होंने संशोधित और अद्यतन संस्करण - 8.0.34 को पैच किया और जारी किया। यदि आप अभी भी संस्करण पर हैं <=8.0.32 जोखिम को कम करने के लिए नवीनतम संस्करण, यानी 8.0.34 पर अपडेट करने पर विचार करें।
एक संपूर्ण सुरक्षा समाधान प्राप्त करें
अपनी वेबसाइट को चौबीसों घंटे सुरक्षित रखना आपकी वेबसाइट को एक क्रूर हैक से पुनर्प्राप्त करने के उपाय की तलाश से बेहतर है। एक वेब एप्लिकेशन फ़ायरवॉल, एक सतत निगरानी प्रणाली है जो आपकी वेबसाइट को किसी भी हैक या साइबर हमले के प्रयास से मॉनिटर करती है और उसकी सुरक्षा करती है। एस्ट्रा एक ऐसा बुद्धिमान फ़ायरवॉल प्रदान करता है जो XSS, SQLi, बैड बॉट्स, CSRF और 100+ अन्य साइबर हमलों जैसे हमलों को रोकता है। यह अपने आप ही दुर्भावनापूर्ण आईपी की पहचान करता है और उन्हें ब्लॉक करता है। Astra Firewall आपकी वेबसाइट की सुरक्षा को अत्यधिक बढ़ा देता है।
अभी एस्ट्रा डेमो प्राप्त करें!