কম্পিউটার
 Computer >> কম্পিউটার >  >> নেটওয়ার্কিং >> নেটওয়ার্ক নিরাপত্তা

ডব্লিউপি প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্টগুলিতে নির্বিচারে ফাইল আপলোড (ver=20190426)

ওয়ার্ডপ্রেস প্লাগইনগুলির সিরিজে একটি নতুন দুর্বলতার প্রকাশ লক্ষ্য করা গেছে। ওয়ার্ডপ্রেস প্লাগইন ইউজার সাবমিটেড পোস্ট ব্যবহারকারীদের এর ফ্রন্ট এন্ড ফিচার থেকে পোস্ট এবং ছবি আপলোড করতে দেয়। এই ওয়ার্ডপ্রেস প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্ট প্লাগইনে বর্তমানে 30,000 টিরও বেশি ইনস্টলেশন রয়েছে। এটি একটি গুরুতর নির্বিচারে ফাইল আপলোড দুর্বলতা পাওয়া গেছে সময়ে এটি বেশ জনপ্রিয় ছিল. ব্যবহারকারী জমা দেওয়া পোস্ট শোষণ এর বিশদ বিবরণ সম্পর্কে আরও জানুন এই নিবন্ধে।

ডব্লিউপি প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্টগুলিতে নির্বিচারে ফাইল আপলোড (ver=20190426)

ডব্লিউপি প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্টগুলিতে নির্বিচারে ফাইল আপলোড (ver=20190426)

আপনার ওয়েবসাইট কি হ্যাক হয়েছে? আমাদের এখানে একটি বার্তা দিন বা এখন আমাদের সাথে চ্যাট করুন এবং আমরা আপনাকে সাহায্য করতে পেরে খুশি হব ?

প্রযুক্তিগত বিবরণ:ব্যবহারকারী জমা দেওয়া পোস্ট শোষণ

20190426 এর আগের এবং এর সমান সংস্করণ নির্বিচারে ফাইল আপলোডের জন্য ঝুঁকিপূর্ণ। এটি PHP FastCGI-এর সাথে অ্যাপাচি সার্ভারে যে কোনো অননুমোদিত ব্যবহারকারীকে তার 'ইমেজ আপলোড' বৈশিষ্ট্যে একটি PHP স্ক্রিপ্ট আপলোড এবং চালানোর অনুমতি দেয় যা শুধুমাত্র চিত্র ফাইলগুলিকে অনুমতি দেওয়ার কথা ছিল৷ দেখা যাচ্ছে, যদি অ-কালো তালিকাভুক্ত এক্সটেনশনগুলি সাদা তালিকাভুক্তগুলির সাথে একত্রিত হয় তবে এই প্লাগইনের বৈধতা সিস্টেমটি প্রতারিত হয়েছিল৷ আরও স্পষ্ট করে বলতে গেলে, আপনি যদি .jpg-এর সাথে .php এক্সটেনশনকে ছদ্মবেশ ধারণ করতে পারেন, তাহলে এটি স্যানিটাইজ হয় না এবং বৈধ হয়। এখানে এটির একটি উদাহরণ, script.php.gif. যেহেতু .php এক্সটেনশনটি একটি ইমেজ ফাইলের ছদ্মবেশে এটি নিরাপত্তা পরীক্ষার মাধ্যমে পাবে এবং শেষ পর্যন্ত কার্যকর করা হবে৷ এর ফলে কোনো ক্ষতিকারক ফাইল আপনার ডাটাবেসে পৌঁছাতে পারে বা আপনার ওয়েবসাইটে সংবেদনশীল তথ্যের গোপনীয়তার ক্ষতি করতে পারে। আপনার ওয়েবসাইট কি হ্যাক হয়েছে? আমাদের এখানে একটি বার্তা দিন বা এখন আমাদের সাথে চ্যাট করুন এবং আমরা আপনাকে সাহায্য করতে পেরে খুশি হব ?

প্রতিরোধমূলক ব্যবস্থা:ব্যবহারকারী জমা দেওয়া পোস্ট শোষণ

20190426 পরবর্তী সংস্করণগুলিতে দুর্বলতা সংশোধন করা হয়েছে। যত তাড়াতাড়ি সম্ভব প্যাচ করা সংস্করণে আপডেট করুন৷৷ যেহেতু, দুর্বলতা এখন সর্বজনীনভাবে প্রকাশ করা হয়েছে, একটি পুরানো সংস্করণ ব্যবহার করা ক্ষতিকারক হতে পারে। আপনার ওয়েবসাইটে নিরাপত্তার একটি অতিরিক্ত নিশ্চয়তা পেতে, আপনার ওয়েবসাইটে একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ইনস্টল করুন। Astra ওয়েব সিকিউরিটি তার WAF (ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল) হিসাবে একটি অবিচ্ছিন্ন পর্যবেক্ষণ সিস্টেম অফার করে, যা আপনার ওয়েবসাইটকে আরবিট্রারি ফাইল আপলোড, SQLi, XSS, CSRF, খারাপ বট এবং 100+ অন্যান্য সাইবার হুমকি থেকে রক্ষা করে।

ডব্লিউপি প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্টগুলিতে নির্বিচারে ফাইল আপলোড (ver=20190426)

ডব্লিউপি প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্টগুলিতে নির্বিচারে ফাইল আপলোড (ver=20190426)

এখন একটি Astra ডেমো পান!


  1. আপনার ব্যবসার ওয়েবসাইটের জন্য 10টি ওয়ার্ডপ্রেস প্লাগইন থাকা আবশ্যক৷

  2. ওয়ার্ডপ্রেসে ইউজো রিলেটেড পোস্ট প্লাগইন এক্সপ্লয়েট

  3. জনপ্রিয় প্লাগইন নিনজা ফর্মগুলি নির্বিচারে ফাইল আপলোড এবং পাথ ট্রাভার্সালের জন্য ঝুঁকিপূর্ণ

  4. ডব্লিউপি প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্টগুলিতে নির্বিচারে ফাইল আপলোড (ver=20190426)