WordPress Slimstat-এর জন্য ওয়েবসাইট বিশ্লেষণ প্লাগইন <=4.8 সংস্করণে সংরক্ষিত XSS (ক্রস-সাইট স্ক্রিপ্টিং) দুর্বলতার জন্য দুর্বল পাওয়া গেছে। এই ব্লগটি লেখার মুহূর্তে, এটি 1,00,000+ ওয়েবসাইটে ইনস্টল করা আছে। স্লিমস্ট্যাট হল রিয়েল টাইমে ওয়েবসাইট অ্যানালিটিক্স ট্র্যাক করার জন্য একটি পরিচিত প্লাগইন, এটি অ্যাক্সেস লগ, ফেরত আসা গ্রাহক এবং নিবন্ধিত ব্যবহারকারী, জাভাস্ক্রিপ্ট ইভেন্ট ইত্যাদির পরিসংখ্যান পর্যবেক্ষণ করে এবং রিপোর্ট করে। পানিতে এডিস তৈরি করা নিশ্চিত।
স্লিমস্ট্যাটে ঝুঁকির বর্তমান অবস্থা ওয়ার্ডপ্রেস প্লাগইন
দুর্বলতা সম্পর্কে, এটি একটি অননুমোদিত ব্যবহারকারীকে <=4.8 সংস্করণের অ্যাক্সেস লগগুলিতে জাভাস্ক্রিপ্ট সন্নিবেশ করার অনুমতি দেয়। প্লাগইন ডেভেলপাররা, তবে, সমস্যাটি সমাধান করতে দ্রুত ছিল এবং শীঘ্রই প্লাগইন ডিরেক্টরিতে আপডেট করা সংস্করণ 4.8.1 তৈরি করা হয়েছে। তবুও যদি আপনি প্যাচ করা সংস্করণে আপডেট না করে থাকেন তবে ঝুঁকি আপনার জন্য দীর্ঘস্থায়ী।
নীচে Slimstat,
-এ XSS-এর প্রযুক্তিগত বিবরণ রয়েছেস্লিমস্ট্যাট৷ ওয়ার্ডপ্রেস প্লাগইন দুর্বলতার বিবরণ
এই দুর্বলতার কারণে, যেকোনো অপ্রমাণিত ভিজিটর প্লাগইন অ্যাক্সেস লগ কার্যকারিতায় নির্বিচারে জাভাস্ক্রিপ্ট কোড ইনজেক্ট করতে পারে, যার জন্য স্লিমস্ট্যাট বেশিরভাগই ব্যবহৃত হয়। আরও, এই অ্যাক্সেস লগটি প্লাগইন অ্যাক্সেস লগ পৃষ্ঠার পাশাপাশি অ্যাডমিন ড্যাশবোর্ড থেকে অ্যাক্সেসযোগ্য৷
একটি অ্যাক্সেস লগ একজন ব্যবহারকারীকে তার ওয়েবসাইটে অ্যাক্সেসের অনুরোধের বিশদ বিবরণের অনুমতি দেয়, এতে সাধারণত আইপি ঠিকানা, সার্ভারের বিবরণ, হোস্টিং বিশদ ইত্যাদির মতো সুনির্দিষ্ট বিষয় অন্তর্ভুক্ত থাকে।
স্লিমস্ট্যাটে, যে কোনও দূষিত ব্যবহারকারী প্লাগইন অ্যাক্সেস লগে নির্বিচারে কোড ইনজেক্ট করতে পারে। একজন প্রশাসক লগ ইন করলে এটি কার্যকর হবে।
সবচেয়ে গুরুত্বপূর্ণভাবে, এই প্লাগইনটিতে শুধুমাত্র একটি স্যানিটাইজেশন পদ্ধতি রয়েছে, যেমন স্ট্রিপ_ট্যাগ, যা শুধুমাত্র একটি সন্নিবেশিত প্লাগইন মান থেকে ট্যাগগুলি সরিয়ে দেয়। এই স্যানিটাইজেশন মানদণ্ডটি একটি একক উদ্ধৃতি ব্যবহার করে এবং তারপরে একটি ইভেন্ট হ্যান্ডলার যোগ করে সহজেই বোকা বানানো যায়৷
এখানে $a_plugin প্লাগইনগুলির জন্য চিত্রটি কীভাবে তৈরি করা হয় তা এখানে রয়েছে প্লাগইন হল:
ফলস্বরূপ, প্লাগইন'অনরর' হিসাবে একটি ত্রুটি (ছবিতে দেখানো হয়েছে) ঘটে। যেহেতু অনুরোধটি কার্যকর করা যায়নি, তাই এটি একটি সম্ভাব্য XSS দুর্বলতা হিসাবে সংরক্ষণ করা হয়৷
স্লিমস্ট্যাট-এর ঝুঁকি কমাতে আপডেট শোষণ
দুর্বল প্লাগইন পরিস্থিতির ক্ষেত্রে, আপনি সংস্করণ আপডেট করা এবং সমস্ত প্রতিরোধমূলক নিরাপত্তা ব্যবস্থা সহজে থাকা ছাড়া আর কিছু করতে পারেন না। আপডেট করা ব্যতীত, একটি অবিচ্ছিন্ন এবং ব্যাপক ওয়েব ফায়ারওয়াল থাকা যা XSS, SQLi, CSRF এবং অন্যান্য সাধারণ সাইবার আক্রমণগুলিকে ব্লক করে। অ্যাস্ট্রা এমন একটি ফায়ারওয়াল অফার করে, যা আপনার ওয়েবসাইটে যেকোন চেষ্টা করা আক্রমণের নিরীক্ষণ, ব্লক এবং রিপোর্ট করবে। এখন একটি Astra ডেমো পেতে এখানে ক্লিক করুন৷
