WP লাইভ চ্যাট সাপোর্ট প্লাগইন, 50,000+ এরও বেশি ইনস্টল সহ, আবার CVE-2019-12498 হিসাবে চিহ্নিত গুরুতর দুর্বলতার জন্য ঝুঁকিপূর্ণ পাওয়া গেছে , যা যেকোনো অননুমোদিত ব্যবহারকারীকে চ্যাটের ইতিহাস চুরি করতে বা বর্তমান চ্যাট সেশন হাইজ্যাক করতে দেয়। 8.0.32 এবং আগের সংস্করণগুলি দুর্বল৷ এই নিবন্ধে সম্পূর্ণ WP লাইভ চ্যাট সমর্থন শোষণ সম্পর্কে পড়ুন।
এটি মাত্র এক মাস আগে যখন WP লাইভ চ্যাট সাপোর্ট প্লাগইনটি গুরুতর ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতার জন্য ঝুঁকিপূর্ণ বলে মনে করা হয়েছিল। কুখ্যাত শোষণটি ওয়ার্ডপ্রেস ওয়েবসাইটগুলির স্কোরকে আপস করে ফেলেছিল। যেটি অনুসরণ করে WordPress সাময়িকভাবে নতুন ইনস্টলেশনের জন্য WP লাইভ চ্যাট সমর্থন প্লাগইন স্থগিত করেছে।
সম্পর্কিত নিবন্ধ – ওয়ার্ডপ্রেস লাইভ চ্যাট সাপোর্ট প্লাগইনে ক্রস-সাইট স্ক্রিপ্টিং
প্রযুক্তিগত বিবরণ:WP লাইভ চ্যাট সমর্থন শোষণ
গবেষকরা প্রকাশ করেছেন যে প্লাগইনটিতে একটি বিকৃত বৈধতা যাচাইয়ের কারণে দুর্বলতা দেখা দিয়েছে যা একটি অননুমোদিত ব্যবহারকারীকে REST API কার্যকারিতা অ্যাক্সেস করতে দেয়। এবং একটি প্রমাণীকৃত ব্যবহারকারীর ক্ষমতার এক্সটেনশন দ্বারা। এইভাবে, তিনি চ্যাট লগগুলিকে উত্তেজিত করতে এবং চ্যাট সেশনগুলি পরিচালনা করতে সক্ষম হন৷
register_rest_route
এখানে, চ্যাট গ্রহণ করুন, চ্যাট শেষ করুন, বার্তা পাঠান, যেমন আপনি নীচের ছবিতে দেখতে পাবেন।
ত্রুটিপূর্ণ wplc_api_permission_check
এর কারণে এখানে ফাংশন, বৈধকরণ চেক লগ ইন করা ব্যবহারকারীর জন্য অনুমতি চেকের জন্য "সত্য" প্রদান করে, এইভাবে, লগ ইন না থাকা ব্যবহারকারীদের কোনো অ্যাক্সেস দেয়।
আপনার ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হয়েছে? আমাদের এখানে একটি বার্তা দিন বা এখন আমাদের সাথে চ্যাট করুন, এবং আমরা সাহায্য করতে পেরে খুশি হব৷ ?
ঝুঁকি:WP লাইভ চ্যাট সমর্থন শোষণ
গবেষকদের মতে, WP লাইভ চ্যাট সাপোর্টে দুর্বলতার কারণে আপনার ওয়েবসাইট যে ঝুঁকির সম্মুখীন হয় তা নিম্নরূপ:
- আক্রমণকারী সমস্ত চ্যাট সেশনের জন্য সমগ্র চ্যাট ইতিহাস বের করতে পারে
- হ্যাকার সক্রিয় চ্যাট সেশনগুলি হাইজ্যাক করতে পারে এবং এটিকে ইচ্ছামত ব্যবহার করতে পারে
- সক্রিয় চ্যাট সেশনগুলি পরিষেবা অস্বীকার (DoS) আক্রমণের অংশ হিসাবে আকস্মিকভাবে শেষ করা যেতে পারে
- কোনও ইনজেকশন করা বার্তায় কী আছে তা গোপন করার জন্য ইনজেকশন করা বার্তাগুলি সম্পাদনা করা যেতে পারে
আপনার ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হয়েছে? আমাদের এখানে একটি বার্তা দিন বা এখন আমাদের সাথে চ্যাট করুন, এবং আমরা সাহায্য করতে পেরে খুশি হব৷ ?
উপসংহার:WP লাইভ চ্যাট সমর্থন শোষণ
সাম্প্রতিক সংস্করণে আপডেট করুন
৷নিরাপত্তা গবেষকরা ডেভেলপারদের দুর্বলতা সম্পর্কে রিপোর্ট করার পরে, তারা সংশোধন করা এবং আপডেট করা সংস্করণ - 8.0.34 প্যাচ এবং প্রকাশ করেছে। আপনি যদি এখনও <=8.0.32 সংস্করণে থাকেন তাহলে সর্বশেষ সংস্করণে আপডেট করার কথা বিবেচনা করুন, যেমন ঝুঁকি কমাতে 8.0.34৷
একটি সম্পূর্ণ নিরাপত্তা সমাধান পান
একটি নৃশংস হ্যাক থেকে আপনার ওয়েবসাইট পুনরুদ্ধার করার জন্য পরিমাপ খোঁজার চেয়ে চব্বিশ ঘন্টা আপনার ওয়েবসাইট রক্ষা করা ভাল। একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল, একটি ক্রমাগত মনিটরিং সিস্টেম যা আপনার ওয়েবসাইটকে যে কোনো হ্যাক বা সাইবার আক্রমণ থেকে রক্ষা করে। Astra এমন একটি বুদ্ধিমান ফায়ারওয়াল অফার করে যা XSS, SQLi, খারাপ বট, CSRF এবং 100+ অন্যান্য সাইবার আক্রমণের মতো আক্রমণ বন্ধ করে। এটি নিজেই দূষিত আইপি সনাক্ত করে এবং ব্লক করে। অ্যাস্ট্রা ফায়ারওয়াল আপনার ওয়েবসাইটের নিরাপত্তা ব্যাপকভাবে যোগ করে।
এখন একটি Astra ডেমো পান!