वर्डप्रेस प्लगइन्स की श्रृंखला में एक नया भेद्यता प्रकटीकरण सामने आया है। वर्डप्रेस प्लगइन उपयोगकर्ता द्वारा सबमिट किए गए पोस्ट उपयोगकर्ताओं को इसके फ्रंट एंड फीचर से पोस्ट और चित्र अपलोड करने देता है। इस वर्डप्रेस प्लगइन उपयोगकर्ता द्वारा प्रस्तुत पोस्ट प्लगइन में वर्तमान में 30,000 से अधिक इंस्टॉलेशन हैं। यह उस समय काफी लोकप्रिय था जब इसमें एक गंभीर मनमानी फ़ाइल अपलोड भेद्यता पाई गई थी। उपयोगकर्ता द्वारा सबमिट किए गए पोस्ट शोषण . के विवरण के बारे में अधिक जानें इस लेख में।
क्या आपकी वेबसाइट हैक हो गई है? हमें यहां संदेश भेजें या अभी हमारे साथ चैट करें और हमें आपकी मदद करने में खुशी होगी ?
तकनीकी विवरण:उपयोगकर्ता द्वारा भेजी गई पोस्ट शोषण
20190426 . से पहले और उसके बराबर के संस्करण मनमानी फ़ाइल अपलोड के प्रति संवेदनशील हैं। यह PHP FastCGI वाले अपाचे सर्वर पर किसी भी अनधिकृत उपयोगकर्ता को अपनी 'छवि अपलोड' सुविधा में एक PHP स्क्रिप्ट अपलोड करने और चलाने की अनुमति देता है जो केवल छवि फ़ाइलों को अनुमति देने वाली थी। यह पता चला है कि यदि गैर-ब्लैकलिस्टेड एक्सटेंशन श्वेतसूची वाले एक्सटेंशन के साथ हैं, तो इस प्लगइन की सत्यापन प्रणाली को धोखा दिया गया था। अधिक स्पष्ट होने के लिए, यदि आप .php एक्सटेंशन को .jpg के साथ छलावरण कर सकते हैं, तो यह स्वच्छ नहीं होता है और मान्य हो जाता है। इसका एक उदाहरण यहां दिया गया है, script.php.gif। चूंकि .php एक्सटेंशन एक छवि फ़ाइल के रूप में प्रच्छन्न है, इसलिए इसे सुरक्षा जांच के माध्यम से प्राप्त किया जाएगा और अंततः निष्पादित किया जाएगा। इसके परिणामस्वरूप कोई भी दुर्भावनापूर्ण फ़ाइल आपके डेटाबेस तक पहुंच सकती है या आपकी वेबसाइट पर संवेदनशील जानकारी की गोपनीयता को नुकसान पहुंचा सकती है। क्या आपकी वेबसाइट हैक हो गई है? हमें यहां संदेश भेजें या अभी हमारे साथ चैट करें और हमें आपकी मदद करने में खुशी होगी ?
निवारक उपाय:उपयोगकर्ता द्वारा सबमिट की गई पोस्ट शोषण
20190426 के बाद के संस्करणों में भेद्यता को ठीक किया गया था। पैच किए गए संस्करण में यथाशीघ्र अपडेट करें। चूंकि, अब भेद्यता का सार्वजनिक रूप से खुलासा किया गया है, पुराने संस्करण का उपयोग करना हानिकारक साबित हो सकता है। अपनी वेबसाइट पर सुरक्षा का एक अतिरिक्त आश्वासन प्राप्त करने के लिए, अपनी वेबसाइट पर एक वेब एप्लिकेशन फ़ायरवॉल स्थापित करें। एस्ट्रा वेब सिक्योरिटी अपने WAF (वेब एप्लिकेशन फ़ायरवॉल) के रूप में एक सतत निगरानी प्रणाली प्रदान करती है, जो आपकी वेबसाइट को मनमानी फ़ाइल अपलोड, SQLi, XSS, CSRF, खराब बॉट्स और 100+ अन्य साइबर खतरों से बचाती है।
अभी एस्ट्रा डेमो प्राप्त करें!