কম্পিউটার

FV ফ্লোপ্লেয়ার ভিডিও প্লেয়ার XSS, SQL ইনজেকশন, CSV এক্সপোর্টের জন্য ঝুঁকিপূর্ণ

আরেকটি প্লাগইন দুর্বল ওয়ার্ডপ্রেস প্লাগইনগুলির ক্রমবর্ধমান তালিকায় প্রবেশ করেছে৷ ওয়ার্ডপ্রেস ফ্রি প্লাগইন এফভি ফ্লোপ্লেয়ার ভিডিও প্লেয়ার যা এফএলভি বা এমপি4 ভিডিও পোস্ট বা পেজে এম্বেড করার জন্য ব্যবহার করা হচ্ছে সেটি XSS, SQL ইনজেকশন এবং CSV এক্সপোর্টের জন্য ঝুঁকিপূর্ণ বলে মনে করা হয়েছে। বর্তমানে 40,000+ ওয়েবসাইটে ইনস্টল করা হয়েছে, দুর্বলতাগুলি রিপোর্ট করার পর মাত্র 4 দিন আগে এটি আপডেট করা হয়েছে। 7.3.14.727-এর আগের সংস্করণগুলি উল্লেখিত আক্রমণগুলির জন্য ঝুঁকিপূর্ণ৷

FV ফ্লোপ্লেয়ার ভিডিও প্লেয়ার SQLi দুর্বলতা

এফভি ফ্লোপ্লেয়ারে এই বরং জটিল SQLi দুর্বলতা একটি অননুমোদিত আক্রমণকারীকে দূষিত জাভাস্ক্রিপ্ট কোড ইনজেক্ট করতে দেয়।

FV ফ্লোপ্লেয়ার ভিডিও প্লেয়ার XSS, SQL ইনজেকশন, CSV এক্সপোর্টের জন্য ঝুঁকিপূর্ণ

এখানে দুর্বল ফাংশন হল `wp_ajax_nopriv_fv_wp_flowplayer_email_signup ` AJAX হুক। 'email উপরের স্ক্রিপ্টে ইমেল ক্ষেত্রের যেকোনো ইনপুট গ্রহণ করে এবং ডেটা সংবেদনশীল ইমেল ডাটাবেসে স্থানান্তরিত হয়।

ওয়ার্ডপ্রেসের SQLi দুর্বলতার ক্ষেত্রে, আপনার ওয়েবসাইটটি আপস করা হচ্ছে কিনা বা না হলে নিম্নলিখিত লক্ষণগুলি আপনাকে সাহায্য করতে পারে। এখানে তালিকা:

  • নতুন অ্যাডমিন ব্যবহারকারী যোগ করা হয়েছে
  • প্রশাসক ব্যবহারকারীর পাসওয়ার্ড কাজ করছে না
  • হ্যাকার ডাটাবেসের একটি স্ক্রিনশট সহ ইমেল করেছে
  • Authorize.net টোকেন ফাঁস হয়েছে
  • ওয়েবসাইট বিকৃত

FV ফ্লোপ্লেয়ার ভিডিও প্লেয়ার XSS দুর্বলতা

উপরের দূষিত কোডগুলি, ঘুরে, প্রশাসকের ওয়েব ব্রাউজারে কার্যকর করা হয়৷

যেমন আগে আলোচনা করা হয়েছে দূষিত ইনপুট স্যানিটাইজ না করেই ইমেল এক্সপোর্ট স্ক্রিনে চলে যায়। এর পরিণতিগুলি ধ্বংসাত্মক হতে পারে কারণ এর ফলে ক্রমাগত ক্রস-সাইট স্ক্রিপ্টিং আক্রমণ হতে পারে৷

এটি ব্যবহারকারী `ইমেল` পোস্ট প্যারামিটারে প্রদান করে এমন কিছু সংরক্ষণ করে।

FV ফ্লোপ্লেয়ার ভিডিও প্লেয়ার XSS, SQL ইনজেকশন, CSV এক্সপোর্টের জন্য ঝুঁকিপূর্ণ

XSS দুর্বলতা বেশ গুরুতর কারণ এটি শোষিত হলে আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের বরং গুরুতর ক্ষতি হতে পারে। নীচে তালিকাভুক্ত করা হয়েছে শুধুমাত্র কয়েকটি সম্ভাব্য শোষণ যা XSS দুর্বলতা থেকে বেরিয়ে আসতে পারে। অথবা আপনি এটিকে আপস হওয়ার লক্ষণ হিসাবেও বিবেচনা করতে পারেন:

  • অন্য সাইটে পুনঃনির্দেশ করা হচ্ছে
  • দূষিত পপ-আপগুলি
  • WooCommerce ক্রেডিট কার্ড হ্যাক
  • ওয়েবসাইটে ক্ষতিকারক গুগল বিজ্ঞাপন
  • ওয়েবসাইটের ব্যবহারকারীর নাম/পাসওয়ার্ড আপস করা হয়েছে

FV ফ্লোপ্লেয়ার ভিডিও প্লেয়ার CSV এক্সপোর্ট দুর্বলতা

FV প্লেয়ারে উন্মোচিত আরেকটি দুর্বলতা হল CSV রপ্তানি দুর্বলতা . এই দুর্বলতা যেকোনো অতিথি ব্যবহারকারীকে গ্রাহকের তালিকা ডাউনলোড করতে দেয়, যা আসলে গোপনীয়তার লঙ্ঘন। এবং বিশেষ করে বিপজ্জনকও, এই ডেটা আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে কাজে লাগানোর জন্য বিভিন্ন ক্ষতিকারক উপায়ে ব্যবহার করা যেতে পারে৷

নিরাপত্তার জন্য সমাধান

দুর্বলতা, যদি চিকিত্সা না করা হয়, তাহলে একটি নৃশংস সাইবার আক্রমণ হতে পারে। এবং আপনি আমাদের ওয়েবসাইটের জন্য এটি চান না. সুতরাং, এই অত্যন্ত অপ্রত্যাশিত সময়ে আপনার সবচেয়ে ভাল বাজি হল প্লাগইন আপডেট করা। আরও,

সর্বশেষ সংস্করণে আপডেট করুন

এফভি ফ্লোপ্লেয়ার ভিডিও প্লেয়ার প্যাচ করা সংস্করণগুলিকে এর সর্বশেষ সংস্করণ হিসাবে ঠেলে দিয়েছে 7.3.15.727৷ এই সংস্করণে আপনার প্লাগইন আপডেট করলে ঝুঁকি অনেকটাই কমবে৷

অস্ট্রা ওয়ার্ডপ্রেস সিকিউরিটি স্যুট

ওয়ার্ডপ্রেসের জন্য তৈরি Astra ওয়েবসাইট সিকিউরিটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল অফার করে যা আপনার ওয়েবসাইটকে XSS, SQLi, CSV, খারাপ বট এবং 100+ অন্যান্য কাজের বিরুদ্ধে রক্ষা করে। ফায়ারওয়াল ছাড়াও, Astra এর ম্যালওয়্যার স্ক্যানার 10 মিনিটেরও কম সময়ে একটি ওয়েবসাইট স্ক্যান করতে পরিচিত এবং পরবর্তী স্ক্যানের জন্য 3 মিনিটের কম সময় নেয়৷

এখনই একটি Astra ডেমো পান, অথবা আমাদের সাথে চ্যাট করুন এবং আমরা আপনাকে সাহায্য করতে পেরে খুশি হব৷


  1. LearnDash LMS Plugin [3.0.0 – 3.1.1]-এ পাওয়া XSS দুর্বলতা প্রতিফলিত - অবিলম্বে আপডেট করুন

  2. ওয়ার্ডপ্রেস প্লাগইন সমৃদ্ধ পর্যালোচনা আক্রমণের মুখে রয়েছে; দুর্বলতা XSS

  3. WPForms Plugin 1.5.9-এ XSS দুর্বলতা পাওয়া গেছে - অবিলম্বে আপডেট করুন

  4. নাগিওস লগ সার্ভারে সংরক্ষিত XSS দুর্বলতা পাওয়া গেছে =2.1.6 - অবিলম্বে আপডেট করুন