ওয়ার্ডপ্রেস প্লাগইনগুলির সিরিজে একটি নতুন দুর্বলতার প্রকাশ লক্ষ্য করা গেছে। ওয়ার্ডপ্রেস প্লাগইন ইউজার সাবমিটেড পোস্ট ব্যবহারকারীদের এর ফ্রন্ট এন্ড ফিচার থেকে পোস্ট এবং ছবি আপলোড করতে দেয়। এই ওয়ার্ডপ্রেস প্লাগইন ব্যবহারকারীর জমা দেওয়া পোস্ট প্লাগইনে বর্তমানে 30,000 টিরও বেশি ইনস্টলেশন রয়েছে। এটি একটি গুরুতর নির্বিচারে ফাইল আপলোড দুর্বলতা পাওয়া গেছে সময়ে এটি বেশ জনপ্রিয় ছিল. ব্যবহারকারী জমা দেওয়া পোস্ট শোষণ এর বিশদ বিবরণ সম্পর্কে আরও জানুন এই নিবন্ধে।
আপনার ওয়েবসাইট কি হ্যাক হয়েছে? আমাদের এখানে একটি বার্তা দিন বা এখন আমাদের সাথে চ্যাট করুন এবং আমরা আপনাকে সাহায্য করতে পেরে খুশি হব৷ ?
প্রযুক্তিগত বিবরণ:ব্যবহারকারী জমা দেওয়া পোস্ট শোষণ
20190426 এর আগের এবং এর সমান সংস্করণ নির্বিচারে ফাইল আপলোডের জন্য ঝুঁকিপূর্ণ। এটি PHP FastCGI-এর সাথে অ্যাপাচি সার্ভারে যে কোনো অননুমোদিত ব্যবহারকারীকে তার 'ইমেজ আপলোড' বৈশিষ্ট্যে একটি PHP স্ক্রিপ্ট আপলোড এবং চালানোর অনুমতি দেয় যা শুধুমাত্র চিত্র ফাইলগুলিকে অনুমতি দেওয়ার কথা ছিল৷ দেখা যাচ্ছে, যদি অ-কালো তালিকাভুক্ত এক্সটেনশনগুলি সাদা তালিকাভুক্তগুলির সাথে একত্রিত হয় তবে এই প্লাগইনের বৈধতা সিস্টেমটি প্রতারিত হয়েছিল৷ আরও স্পষ্ট করে বলতে গেলে, আপনি যদি .jpg-এর সাথে .php এক্সটেনশনকে ছদ্মবেশ ধারণ করতে পারেন, তাহলে এটি স্যানিটাইজ হয় না এবং বৈধ হয়। এখানে এটির একটি উদাহরণ, script.php.gif. যেহেতু .php এক্সটেনশনটি একটি ইমেজ ফাইলের ছদ্মবেশে এটি নিরাপত্তা পরীক্ষার মাধ্যমে পাবে এবং শেষ পর্যন্ত কার্যকর করা হবে৷ এর ফলে কোনো ক্ষতিকারক ফাইল আপনার ডাটাবেসে পৌঁছাতে পারে বা আপনার ওয়েবসাইটে সংবেদনশীল তথ্যের গোপনীয়তার ক্ষতি করতে পারে। আপনার ওয়েবসাইট কি হ্যাক হয়েছে? আমাদের এখানে একটি বার্তা দিন বা এখন আমাদের সাথে চ্যাট করুন এবং আমরা আপনাকে সাহায্য করতে পেরে খুশি হব৷ ?
প্রতিরোধমূলক ব্যবস্থা:ব্যবহারকারী জমা দেওয়া পোস্ট শোষণ
20190426 পরবর্তী সংস্করণগুলিতে দুর্বলতা সংশোধন করা হয়েছে। যত তাড়াতাড়ি সম্ভব প্যাচ করা সংস্করণে আপডেট করুন৷৷ যেহেতু, দুর্বলতা এখন সর্বজনীনভাবে প্রকাশ করা হয়েছে, একটি পুরানো সংস্করণ ব্যবহার করা ক্ষতিকারক হতে পারে। আপনার ওয়েবসাইটে নিরাপত্তার একটি অতিরিক্ত নিশ্চয়তা পেতে, আপনার ওয়েবসাইটে একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ইনস্টল করুন। Astra ওয়েব সিকিউরিটি তার WAF (ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল) হিসাবে একটি অবিচ্ছিন্ন পর্যবেক্ষণ সিস্টেম অফার করে, যা আপনার ওয়েবসাইটকে আরবিট্রারি ফাইল আপলোড, SQLi, XSS, CSRF, খারাপ বট এবং 100+ অন্যান্য সাইবার হুমকি থেকে রক্ষা করে।
এখন একটি Astra ডেমো পান!