কম্পিউটার
 Computer >> কম্পিউটার >  >> নেটওয়ার্কিং >> নেটওয়ার্ক নিরাপত্তা

SQL ইনজেকশন দুর্বলতা ওয়ার্ডপ্রেস প্লাগইনে আবিষ্কৃত – WP পরিসংখ্যান

ওয়ার্ডপ্রেস , জাগারনট সিএমএস 1 বিলিয়নেরও বেশি ওয়েবসাইটকে চালিত করে, যার মধ্যে উল্লেখযোগ্য হল টেকক্রাঞ্চ, দ্য নিউ ইয়র্কার, সনি, এবং এমটিভি অন্যান্য অনেকের মধ্যে, ওয়েবসাইট নিরাপত্তার ক্ষেত্রে দুর্বলতা থেকে মুক্ত নয়। সম্প্রতি, এর সবচেয়ে জনপ্রিয় প্লাগইনগুলির মধ্যে একটি, WP পরিসংখ্যান, ত্রুটিপূর্ণ হিসাবে বিবেচিত হয়েছিল, প্রায় 300,000 ওয়েবসাইটগুলিকে অনলাইন আক্রমণকারীদের দ্বারা শোষণের জন্য উন্মুক্ত করে৷

প্লাগইন WP পরিসংখ্যান সম্প্রতি SQL ইনজেকশন ত্রুটির জন্য ঝুঁকিপূর্ণ আবিষ্কৃত হয়েছে. যা ব্যবহার করে একজন দূরবর্তী আক্রমণকারী, যতটা গ্রাহক অ্যাকাউন্ট সহ, ওয়েবসাইটের ডাটাবেস থেকে সংবেদনশীল তথ্য চুরি করতে পারে এবং সম্ভবত ওয়েবসাইটগুলিতে অননুমোদিত অ্যাক্সেস লাভ করতে পারে। দুর্বলতাকে 'গুরুতর' বলে অভিহিত করা হয়েছে।

প্রযুক্তিগত বিবরণ

এসকিউএল ইনজেকশন একটি ওয়েব অ্যাপ্লিকেশানের অসদাচরণকে বোঝায় যেখানে হ্যাকাররা ডাটাবেসের বিষয়বস্তু চুরি করার একমাত্র উদ্দেশ্য নিয়ে ব্যবহারকারীর ইনপুটগুলিতে একটি স্ট্রাকচার্ড কোয়েরি ল্যাঙ্গুয়েজ (SQL) কোড ইনজেক্ট করে। wp_statistics_searchengine_query() সহ WP পরিসংখ্যান প্লাগইনের একাধিক ফাংশনে দুর্বলতা থাকে .

SQL ইনজেকশন দুর্বলতা ওয়ার্ডপ্রেস প্লাগইনে আবিষ্কৃত – WP পরিসংখ্যান

শুধুমাত্র উপরের শর্টকোডটিতে কল করার মাধ্যমে, অ্যাডমিন ব্যবহারকারীরা ভিজিটের সংখ্যা সম্পর্কে বিস্তারিত তথ্য পেতে পারেন। যদিও শর্টকোডের কিছু বৈশিষ্ট্য গুরুত্বপূর্ণ ফাংশনগুলির জন্য প্যারামিটার হিসাবে পাস করা হচ্ছে, এই ফাংশনগুলির ইনপুটগুলিকে স্যানিটাইজ করা অপরিহার্য হয়ে ওঠে। কিন্তু বিপরীতে, ফাংশন wp_statistics_searchengine_query() মূল ফাংশন wp_ajax_parse_media_shortcode() কে ধন্যবাদ WordPress এর AJAX কার্যকারিতার মাধ্যমে অ্যাক্সেসযোগ্য .

সমস্যাটি সফ্টওয়্যারটির অক্ষমতা থেকে উদ্ভূত হয়েছে একবার ফর্ম কোয়েরিতে ঢোকানো ডেটা সঠিকভাবে স্যানিটাইজ করতে। ওয়ার্ডপ্রেস ডেভেলপারদের এমন সামগ্রী তৈরি করতে দেয় যা শর্টকোড ব্যবহার করে পৃষ্ঠাগুলিতে ইনজেকশন করা যেতে পারে। এটি নিম্নলিখিত WP পরিসংখ্যান শর্টকোডের সাথে একটি সমস্যা হয়ে দাঁড়ায়:

[শর্টকোড atts_1="test" atts_2="test"]

অবিলম্বে আপডেট করুন

প্লাগইনগুলি ওয়ার্ডপ্রেস ভিত্তিক ওয়েবসাইটগুলিতে কার্যকারিতাগুলির একটি বিশাল সংখ্যা প্রদান করে। এই ধরনের দুর্বলতাগুলি একটি বৃহত্তর সমস্যার প্রতীক। দ্রুত রিলিজ তৈরি করতে এবং বাজারে প্রথম কার্যকারিতা আনতে, এটি প্রায়শই অ্যাপ্লিকেশনটির নিরাপত্তার দিকটি বন্ধ করে দেয়। ওয়ার্ডপ্রেস নিরাপত্তা আজ একটি গুরুতর সমস্যা।

একমাত্র সংশোধন হল অবিলম্বে সর্বশেষ সংস্করণে আপডেট করা। আপনার ওয়ার্ডপ্রেস ওয়েবসাইট সুরক্ষিত করতে এবং সম্ভাব্য হুমকির জন্য অডিট করতে, Astra WordPress সিকিউরিটি দেখুন।


  1. ওয়ার্ডপ্রেস ওয়েবসাইটগুলিতে জাল সুপার সোশ্যালাইজার প্লাগইন [জাল আইসিও ফাইল যোগ করে এবং জাল বিজ্ঞাপন ট্রিগার করে]

  2. ওয়ার্ডপ্রেস প্লাগইন সমৃদ্ধ পর্যালোচনা আক্রমণের মুখে রয়েছে; দুর্বলতা XSS

  3. GiveWP প্লাগইনে প্রমাণীকরণ বাইপাস দুর্বলতা পাওয়া গেছে – অবিলম্বে আপডেট করুন

  4. WPForms Plugin 1.5.9-এ XSS দুর্বলতা পাওয়া গেছে - অবিলম্বে আপডেট করুন