জনপ্রিয় ওয়ার্ডপ্রেস প্রশংসাপত্র প্লাগইন, শক্তিশালী প্রশংসাপত্র পরীক্ষা করার সময়, আমি প্লাগইনে একাধিক সঞ্চিত XSS দুর্বলতা খুঁজে পেয়েছি। স্ট্রং টেস্টিমোনিয়াল সংস্করণ 2.40.0 এবং নীচের ব্যবহার করা সমস্ত ওয়ার্ডপ্রেস ওয়েবসাইট প্রভাবিত৷
CVE আইডি: CVE-2020-8549
CWE আইডি: CWE-79
সারাংশ
শক্তিশালী প্রশংসাপত্র হল একটি জনপ্রিয় এবং সহজেই কাস্টমাইজযোগ্য ওয়ার্ডপ্রেস প্রশংসাপত্র প্লাগইন যার 90,000 টিরও বেশি সক্রিয় ইনস্টলেশন রয়েছে। প্লাগইনে পাওয়া সঞ্চিত XSS দুর্বলতাগুলি আক্রমণকারীরা ক্ষতিকারক সেশন কুকিজ বা লগইন শংসাপত্র চুরি করা, নির্বিচারে কাজ করা যেমন ভিকটিমদের পক্ষে লগিং করা, তাদের কীস্ট্রোক প্রবর্তন করা, জাপানি কীওয়ার্ড হ্যাক দিয়ে আপনার ওয়েবসাইটকে সংক্রামিত করা ইত্যাদি দূষিত ক্রিয়া সম্পাদন করতে ব্যবহার করতে পারে। , এবং আরো।
দুর্বলতা
ক্লায়েন্ট বিশদ বিভাগে যা একটি প্রশংসাপত্র যোগ বা সম্পাদনা করার সময় দেখা যায়, কাস্টম[ক্লায়েন্ট_নাম] এবং কাস্টম[কম্পানির_নাম] পরামিতিগুলি সংরক্ষিত ক্রস-সাইট স্ক্রিপ্টিংয়ের জন্য দুর্বল বলে দেখা গেছে৷
সাইটের একটি পৃষ্ঠায় প্রশংসাপত্র যোগ করা হলে, উপরে উল্লিখিত উভয় দুর্বল প্যারামিটারে পাস করা XSS পেলোড কার্যকর হয়।
কাস্টম[ক্লায়েন্ট_নাম]-এ পেলোড এছাড়াও সমস্ত প্রশংসাপত্রে কার্যকর করা হয় (/wp-admin/edit.php?post_type=wpm- testimonial ) পৃষ্ঠা।
টাইমলাইন
23 জানুয়ারী, 2020 এ দুর্বলতা স্ট্রং টেস্টিমোনিয়াল টিমের কাছে রিপোর্ট করা হয়েছে।
স্ট্রং টেস্টিমোনিয়াল ভার্সন 2.40.1 যেটিতে দুর্বলতার সমাধান রয়েছে 25 জানুয়ারী, 2020-এ প্রকাশিত হয়েছিল।
প্রস্তাবিত
প্লাগইনটিকে সর্বশেষ সংস্করণে আপডেট করার জন্য এটি অত্যন্ত সুপারিশ করা হয়৷
৷রেফারেন্স
- https://github.com/MachoThemes/strong-testimonials/blob/master/changelog.txt
- https://wpvulndb.com/vulnerabilities/10056
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8549
সর্বোত্তম নিরাপত্তা অনুশীলনের জন্য, আপনি নীচের নির্দেশিকাগুলি অনুসরণ করতে পারেন:
- ওয়ার্ডপ্রেস নিরাপত্তা নির্দেশিকা
- ওয়ার্ডপ্রেস হ্যাক এবং ম্যালওয়্যার অপসারণ
