আপনি যদি একটি ওয়ার্ডপ্রেস সাইট দিয়ে চালান আলটিমেট সদস্য প্লাগইন ইনস্টল করা হয়েছে, নিশ্চিত করুন যে আপনি এটি সর্বশেষ সংস্করণে আপডেট করেছেন।
সপ্তাহান্তে, প্লাগইনটির নির্মাতা সংস্করণ প্রকাশ করেছে 2.6.7, যা একটি গুরুতর নিরাপত্তা গর্ত প্যাচ অনুমিত হয়, ব্যবহারকারী দ্বারা বর্ণিত @softwaregeek ওয়ার্ডপ্রেস সমর্থন সাইটে নিম্নরূপ:
প্লাগইনে একটি গুরুতর দুর্বলতা (জন্য CVE-2023-3460) একজন অননুমোদিত আক্রমণকারীকে প্রশাসক হিসাবে নিবন্ধন করতে এবং ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণ নিতে দেয়। সমস্যা প্লাগইন নিবন্ধন ফর্ম সঙ্গে ঘটে. এই ফর্মটিতে অ্যাকাউন্ট নিবন্ধিত হওয়ার জন্য নির্দিষ্ট মান পরিবর্তন করা সম্ভব বলে মনে হচ্ছে। এই অন্তর্ভুক্ত
wp_capabilities
মান, যা ওয়েবসাইটে ব্যবহারকারীর ভূমিকা নির্ধারণ করে।প্লাগইন ব্যবহারকারীদের এই মানটি প্রবেশ করার অনুমতি দেয় না, তবে এই ফিল্টারটি বাইপাস করা সহজ হতে দেখা যাচ্ছে, এটি সম্পাদনা করা সম্ভব করে তোলে
wp_capabilities
এবং একজন অ্যাডমিন হন।
অন্য কথায়, অনলাইনে তাদের অ্যাকাউন্ট তৈরি বা পরিচালনা করার সময়, ব্যবহারকারীদের কাছে উপস্থাপিত ক্লায়েন্ট-সাইড ওয়েব ফর্ম আনুষ্ঠানিকভাবে তাদের সুপার পাওয়ারের সাথে সেট আপ করার অনুমতি দেয় না।
কিন্তু ব্যাক-এন্ড সফ্টওয়্যারটি এমন দুর্বৃত্ত ব্যবহারকারীদের নির্ভরযোগ্যভাবে সনাক্ত এবং ব্লক করে না যারা ইচ্ছাকৃতভাবে অনুপযুক্ত অনুরোধ জমা দেয়।
প্লাগইন "পরম সহজ" প্রতিশ্রুতি দেয়
সার্জারির চূড়ান্ত সদস্য সফ্টওয়্যার ওয়ার্ডপ্রেস সাইটগুলিকে ব্যবহারকারীর অ্যাক্সেসের বিভিন্ন স্তরের অফার করতে সাহায্য করার উদ্দেশ্যে, নিজেকে তালিকাভুক্ত করে৷ "ওয়ার্ডপ্রেসের জন্য সেরা ব্যবহারকারী প্রোফাইল এবং সদস্যতা প্লাগইন", এবং এটির বিজ্ঞাপনের ব্লার্বে নিজেকে কথা বলছে:
ওয়ার্ডপ্রেসের জন্য #1 ব্যবহারকারী প্রোফাইল এবং সদস্যতা প্লাগইন। প্লাগইনটি ব্যবহারকারীদের জন্য সাইন-আপ করা এবং আপনার ওয়েবসাইটের সদস্য হওয়ার জন্য একটি হাওয়া করে তোলে। প্লাগইন আপনাকে আপনার সাইটে সুন্দর ব্যবহারকারী প্রোফাইল যোগ করতে দেয় এবং উন্নত অনলাইন সম্প্রদায় এবং সদস্যতা সাইট তৈরি করার জন্য উপযুক্ত। লাইটওয়েট এবং অত্যন্ত প্রসারিত, আলটিমেট মেম্বার আপনাকে প্রায় যেকোন ধরনের সাইট তৈরি করতে সক্ষম করবে যেখানে ব্যবহারকারীরা যোগ দিতে এবং সদস্য হতে পারে।
দুর্ভাগ্যবশত, প্রোগ্রামাররা শক্তিশালী নিরাপত্তার সাথে প্লাগইনের ব্যবহার "পরম সহজ" এর সাথে মেলে তাদের নিজস্ব ক্ষমতায় ভয়ঙ্করভাবে আত্মবিশ্বাসী বলে মনে হয় না।
একটি ইন সরকারী প্রতিক্রিয়া @softwaregeek থেকে উপরের নিরাপত্তা প্রতিবেদনে, কোম্পানিটি তার বাগ-ফিক্সিং প্রক্রিয়াটিকে এভাবে বর্ণনা করেছে [উদ্ধৃত পাঠ্য এসআইসি]:
আমরা 2.6.3 সংস্করণ থেকে এই দুর্বলতার সাথে সম্পর্কিত সমাধানের জন্য কাজ করছি যখন আমরা আমাদের একজন গ্রাহকের কাছ থেকে একটি প্রতিবেদন পাই। সংস্করণ 2.6.4, 2.6.5, 2.6.6 আংশিকভাবে এই দুর্বলতা বন্ধ করে দেয় কিন্তু আমরা এখনও সেরা ফলাফল পাওয়ার জন্য WPScan দলের সাথে একসাথে কাজ করছি। আমরা সমস্ত প্রয়োজনীয় বিবরণ সহ তাদের প্রতিবেদনও পাই।
সমস্ত পূর্ববর্তী সংস্করণগুলি দুর্বল তাই আমরা আপনার ওয়েবসাইটগুলিকে 2.6.6-এ আপগ্রেড করার এবং সাম্প্রতিক সুরক্ষা এবং বৈশিষ্ট্য বর্ধিতকরণগুলি পাওয়ার জন্য ভবিষ্যতে আপডেটগুলি রাখার সুপারিশ করছি৷
আমরা বর্তমানে একটি অবশিষ্ট সমস্যা সমাধানের জন্য কাজ করছি এবং যত তাড়াতাড়ি সম্ভব আরও একটি আপডেট প্রকাশ করব৷
অনেক জায়গায় বাগ
আপনি কুখ্যাত সময় সাইবার নিরাপত্তা দায়িত্ব ছিল Log4Shell দুর্বলতা 2021 সালের শেষের দিকে ক্রিসমাস অবকাশের মরসুমে, আপনি জানতে পারবেন যে কিছু ধরণের প্রোগ্রামিং বাগের জন্য প্যাচের প্রয়োজন হয় যেগুলির জন্য প্যাচের প্রয়োজন হয় এবং আরও অনেক কিছু।
উদাহরণস্বরূপ, যদি আপনার কোডের একটি একক পয়েন্টে একটি বাফার ওভারফ্লো থাকে যেখানে আপনি অসাবধানতাবশত 28 বাইট মেমরি সংরক্ষিত করেছেন কিন্তু 128 টাইপ করতে চান, তাহলে সেই ভুল নম্বরটি ঠিক করাই বাগটি একবারে প্যাচ করার জন্য যথেষ্ট হবে।
এখন, যাইহোক, কল্পনা করুন যে বাগটি কোডের শুধুমাত্র একটি পয়েন্টে একটি টাইপিং ভুলের জন্য ছিল না, তবে এটি একটি অনুমানের কারণে হয়েছে যে 28 বাইট সব সময়ে এবং সব জায়গায় সঠিক বাফার আকার ছিল।
আপনি এবং আপনার কোডিং টিম হয়ত আপনার সফ্টওয়্যারের অন্যান্য জায়গায় বাগটি পুনরাবৃত্তি করেছেন, যাতে আপনাকে বাগ-হান্টিংয়ের একটি বর্ধিত সেশনের জন্য স্থির হতে হবে।
এইভাবে, আপনি যদি একই, বা অনুরূপ, ভুলের কারণে সৃষ্ট অন্য বাগগুলি খুঁজে পান তবে আপনি দ্রুত এবং সক্রিয়ভাবে আরও প্যাচগুলি পুশ করতে পারেন। (প্রথম জায়গায় কী খুঁজতে হবে তা জানলে বাগগুলি খুঁজে পাওয়া সাধারণত সহজ হয়৷)
Log4J ক্ষেত্রে, আক্রমণকারীরা কোডটি খুঁটিয়ে খুঁটিয়ে খুঁটিয়ে নিয়েছিল, Log4J প্রোগ্রামারদের আগে কোডের অন্য কোথাও সম্পর্কিত কোডিং ভুল খুঁজে পাওয়ার আশায়।
সৌভাগ্যবশত, Log4J প্রোগ্রামিং দল না শুধুমাত্র তাদের নিজস্ব কোড পর্যালোচনা সক্রিয়ভাবে সম্পর্কিত বাগগুলি ঠিক করার জন্য, কিন্তু ধারণার নতুন প্রমাণের জন্য তাদের চোখও বাইরে রাখে।
কিছু নতুন দুর্বলতা উত্তেজনাপূর্ণ বাগ-হান্টারদের দ্বারা প্রকাশ্যে প্রকাশ করা হয়েছিল যারা স্পষ্টতই তাত্ক্ষণিক ইন্টারনেট খ্যাতির চেয়ে বেশি বিলম্বিত স্বীকৃতির জন্য পছন্দ করেছিল যে তারা Log4J কোডারদের কাছে দায়িত্বের সাথে বাগটি প্রকাশ করা থেকে পাবে।
আমরা সাম্প্রতিক MOVEit কমান্ড ইনজেকশন দুর্বলতার ক্ষেত্রে একই রকম পরিস্থিতি দেখেছি, যেখানে ক্লপ র্যানসমওয়্যার গ্যাংয়ের সহযোগীরা খুঁজে পেয়েছিল এবং শোষণ করেছিল শূন্য-দিনের বাগ MOVEit-এর ওয়েব-ভিত্তিক ফ্রন্ট এন্ডে, দুর্বৃত্তদের সংবেদনশীল কোম্পানির ডেটা চুরি করার অনুমতি দেয় এবং তারপর ভুক্তভোগীদের ব্ল্যাকমেইল করার চেষ্টা করে "হুশ মানি" প্রদান করে।
অগ্রগতি সফ্টওয়্যার, MOVEit-এর নির্মাতারা, দ্রুত শূন্য-দিন প্যাচ করে, তারপর একটি প্রকাশ করে দ্বিতীয় প্যাচ তাদের নিজস্ব একটি বাগ-হান্টিং সেশনে সম্পর্কিত বাগগুলি খুঁজে পাওয়ার পর, খুব শীঘ্রই একটি তৃতীয় প্যাচ প্রকাশ করার জন্য, যখন একটি স্ব-শৈলীযুক্ত হুমকি শিকারী আরও একটি গর্ত খুঁজে পেয়েছিল যা অগ্রগতি মিস করেছিল।
দুঃখজনকভাবে, সেই "গবেষক" এটি প্রকাশ করে দুর্বলতা খুঁজে পাওয়ার জন্য ক্রেডিট দাবি করার সিদ্ধান্ত নিয়েছে যে কেউ এবং সবাই দেখতে, বরং অগ্রগতি এক বা দুই দিন আগে এটি মোকাবেলা করার চেয়ে.
এটি অগ্রগতিকে এটিকে আরও একটি শূন্য-দিন ঘোষণা করতে বাধ্য করেছিল এবং প্রগ্রেস গ্রাহকদের প্রায় 24 ঘন্টার জন্য সফ্টওয়্যারের বগি অংশ সম্পূর্ণরূপে বন্ধ করতে বাধ্য করেছিল প্যাচ তৈরি করা হয়েছিল এবং পরীক্ষিত।
এই আলটিমেট সদস্য বাগ পরিস্থিতি, প্লাগইনের নির্মাতারা MOVEit-এর নির্মাতাদের মতো চিন্তাশীল ছিলেন না, যারা তাদের গ্রাহকদের সফ্টওয়্যার ব্যবহার বন্ধ করার জন্য স্পষ্টভাবে পরামর্শ দিয়েছিলেন যখন সেই নতুন এবং শোষণযোগ্য গর্তটি প্যাচ করা হয়েছিল।
আল্টিমেট মেম্বাররা শুধুমাত্র তাদের ব্যবহারকারীদের চলমান আপডেটের দিকে নজর রাখার পরামর্শ দিয়েছিল, যার মধ্যে সম্প্রতি প্রকাশিত 2.6.7 হল বাগ সংশোধনের একটি শৃঙ্খলে চতুর্থ যা 2023 সালের জুনের মাঝামাঝি সময়ে প্রথম লক্ষ্য করা হয়েছিল, যখন 2.6.3 ছিল বর্তমান সংস্করণ নম্বর।
কি করো?
- আপনি যদি একজন UltimateMember ব্যবহারকারী হন, জরুরীভাবে প্যাচ করুন। প্লাগইনের কোডিং টিম এই সমস্যাটির সমাধান করছে বলে মনে হচ্ছে যেভাবে টুকরো টুকরো করে দেওয়া হয়েছে, নিশ্চিত করুন যে আপনি ভবিষ্যতের আপডেটগুলির জন্য সন্ধান করছেন এবং যত তাড়াতাড়ি সম্ভব সেগুলি প্রয়োগ করছেন।
- আপনি যদি সার্ভার-সাইড প্রোগ্রামার হন তবে সর্বদা সবচেয়ে খারাপটি ধরে নিন। জমা দেওয়া ইনপুট ডেটা নিরাপদ কিনা তা নিশ্চিত করতে ক্লায়েন্ট-সাইড কোডের উপর নির্ভর করবেন না যা আপনি নিয়ন্ত্রণ করতে পারবেন না, যেমন HTML বা JavaScript যা ব্যবহারকারীর ব্রাউজারে চলে। আপনার ইনপুট যাচাই করুন, আমরা নগ্ন নিরাপত্তা বলতে চাই. সর্বদা পরিমাপ করুন, কখনও অনুমান করবেন না।
- আপনি যদি একজন প্রোগ্রামার হন, কোন বাগ রিপোর্ট করা হলে সম্পর্কিত সমস্যার জন্য বিস্তৃতভাবে অনুসন্ধান করুন। একটি প্রোগ্রামার দ্বারা এক জায়গায় কোডিং ত্রুটিগুলি অন্যত্র অনুলিপি করা হতে পারে, হয় একই কোডার দ্বারা প্রকল্পের অন্যান্য অংশে কাজ করা, বা অন্য কোডাররা খারাপ অভ্যাস "শিখা" বা বিশ্বাসযোগ্যভাবে ভুল নকশা অনুমান অনুসরণ করে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 1
- 15%
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- ক্ষমতা
- সম্পর্কে
- উপরে
- পরম
- প্রবেশ
- হিসাব
- অ্যাকাউন্টস
- যোগ
- সম্ভাষণ
- অ্যাডমিন
- অগ্রসর
- বিজ্ঞাপন
- পর
- পরে
- সব
- অনুমতি
- অনুমতি
- অনুমতি
- বরাবর
- এছাড়াও
- সর্বদা
- an
- এবং
- অন্য
- কোন
- মনে হচ্ছে,
- প্রয়োগ করা
- রয়েছি
- AS
- অনুমান
- ধৃষ্টতা
- At
- লেখক
- গাড়ী
- ব্যাক-এন্ড
- পটভূমি চিত্র
- খারাপ
- BE
- সুন্দর
- পরিণত
- হয়েছে
- আগে
- সর্বোত্তম
- ব্ল্যাকমেল
- বাধা
- সীমান্ত
- পাদ
- মৃদুমন্দ বাতাস
- বিস্তৃতভাবে
- ব্রাউজার
- বাফার
- বাফার ওভারফ্লো
- নম
- বাগ-হান্টিং
- বাগ
- কিন্তু
- by
- CAN
- কেস
- ঘটিত
- কেন্দ্র
- কিছু
- চেন
- পরিবর্তন
- বড়দিনের পর্ব
- দাবি
- ঘনিষ্ঠ
- কোড
- সংকেতপদ্ধতিরচয়িতা
- কোডিং
- রঙ
- সম্প্রদায়গুলি
- কোম্পানি
- সুনিশ্চিত
- নিয়ন্ত্রণ
- আবরণ
- সৃষ্টি
- তৈরি করা হচ্ছে
- স্রষ্টা
- ধার
- সংকটপূর্ণ
- বর্তমান
- এখন
- ক্রেতা
- গ্রাহকদের
- সাইবার নিরাপত্তা
- উপাত্ত
- দিন
- লেনদেন
- সিদ্ধান্ত নিয়েছে
- বিলম্বিত
- বর্ণিত
- নকশা
- বিস্তারিত
- নির্ধারণ করে
- DID
- প্রকাশ করছে
- প্রদর্শন
- do
- না
- Dont
- নিচে
- সময়
- গোড়ার দিকে
- আরাম
- সহজ
- সহজ
- পারেন
- অন্যত্র
- সক্ষম করা
- শেষ
- উন্নত বৈশিষ্ট্য
- যথেষ্ট
- নিশ্চিত করা
- প্রবেশ করান
- সম্পূর্ণরূপে
- ত্রুটি
- সবাই
- উদাহরণ
- শোষিত
- কীর্তিকলাপ
- চোখ
- FAME
- বৈশিষ্ট্য
- ছাঁকনি
- আবিষ্কার
- আবিষ্কার
- প্রথম
- ঠিক করা
- অনুসরণ
- জন্য
- ফর্ম
- পাওয়া
- চতুর্থ
- থেকে
- সদর
- সামনের অংশ
- সম্পূর্ণ
- অধিকতর
- ভবিষ্যৎ
- দল
- সাধারণত
- পাওয়া
- পেয়ে
- প্রদত্ত
- দান
- Go
- ছিল
- আছে
- উচ্চতা
- সাহায্য
- অত্যন্ত
- গর্ত
- প্রত্যাশী
- ঘন্টার
- বাতাসে ভাসিতে থাকা
- যাহোক
- এইচটিএমএল
- HTTPS দ্বারা
- শিকারী
- if
- কল্পনা করা
- in
- অন্তর্ভুক্ত
- কুখ্যাত
- ইনপুট
- ইনস্টল
- তাত্ক্ষণিক
- Internet
- মধ্যে
- সমস্যা
- সমস্যা
- IT
- এর
- নিজেই
- জাভাস্ক্রিপ্ট
- যোগদানের
- জুন
- মাত্র
- শুধু একটি
- রাখা
- রাখা
- জানা
- সর্বশেষ
- বাম
- যাক
- মাত্রা
- লাইটওয়েট
- মত
- তালিকা
- log4j
- দেখুন
- প্রণীত
- করা
- প্রস্তুতকর্তা
- তৈরি করে
- মেকিং
- পরিচালক
- অনেক
- মার্জিন
- ম্যাচ
- সর্বোচ্চ প্রস্থ
- মে..
- অভিপ্রেত
- মাপ
- সদস্য
- সদস্য
- সদস্যতা
- স্মৃতি
- নিছক
- মধ্যম
- হতে পারে
- মিস
- ভুল
- ভুল
- অধিক
- নগ্ন সুরক্ষা
- প্রয়োজনীয়
- প্রয়োজন
- প্রয়োজন
- না
- নতুন
- সাধারণ
- সংখ্যা
- of
- বন্ধ
- অর্পণ
- সরকারী ভাবে
- on
- একদা
- ONE
- নিরন্তর
- অনলাইন
- অনলাইন সম্প্রদায়
- কেবল
- or
- অন্যান্য
- আমাদের
- বাইরে
- শেষ
- নিজের
- অংশ
- যন্ত্রাংশ
- তালি
- প্যাচ
- পল
- পরিশোধ
- নির্ভুল
- জায়গা
- জায়গা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- প্লাগ লাগানো
- বিন্দু
- অবস্থান
- সম্ভব
- পোস্ট
- পছন্দের
- উপস্থাপন
- আগে
- সমস্যা
- প্রক্রিয়া
- প্রোফাইল
- প্রোফাইল
- প্রোগ্রামার
- প্রোগ্রামাররা
- প্রোগ্রামিং
- উন্নতি
- প্রকল্প
- প্রতিশ্রুতি
- প্রকাশ্যে
- প্রকাশ করা
- প্রকাশিত
- প্রকাশক
- ধাক্কা
- দ্রুত
- ransomware
- বরং
- সাম্প্রতিক
- সম্প্রতি
- স্বীকার
- সুপারিশ করা
- খাতা
- নিবন্ধভুক্ত
- নিবন্ধন
- সংশ্লিষ্ট
- উপর
- মুক্তি
- নির্ভর করা
- অবশিষ্ট
- পুনরাবৃত্ত
- রিপোর্ট
- রিপোর্ট
- অনুরোধ
- সংরক্ষিত
- ফল
- অধিকার
- ভূমিকা
- চালান
- রান
- নিরাপদ
- একই
- করাত
- বলা
- সার্চ
- ঋতু
- নিরাপত্তা
- মনে
- সংবেদনশীল
- গম্ভীর
- সেশন
- সেট
- বসতি স্থাপন করা
- শীঘ্র
- অনুরূপ
- থেকে
- একক
- সাইট
- সাইট
- অবস্থা
- আয়তন
- So
- প্রশান্ত
- সফটওয়্যার
- কঠিন
- কিছু
- শীঘ্রই
- এখনো
- থামুন
- শক্তিশালী
- জমা
- পেশ
- এমন
- সমর্থন
- অনুমিত
- নিশ্চিত
- করা SVG
- গ্রহণ করা
- কথা বলা
- টীম
- প্রমাণিত
- চেয়ে
- যে
- সার্জারির
- ভবিষ্যৎ
- তাদের
- তাহাদিগকে
- নিজেদের
- তারপর
- তারা
- তৃতীয়
- এই
- হুমকি
- বার
- থেকে
- একসঙ্গে
- অত্যধিক
- শীর্ষ
- রূপান্তর
- স্বচ্ছ
- চেষ্টা
- চালু
- পালা
- দুই
- আদর্শ
- ধরনের
- চূড়ান্ত
- আপডেট
- আপডেট
- আপডেট
- আপগ্রেড
- URL টি
- ব্যবহার
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- অবকাশ
- মূল্য
- মানগুলি
- বিভিন্ন
- সংস্করণ
- ক্ষতিগ্রস্তদের
- দুর্বলতা
- দুর্বলতা
- জেয়
- ছিল
- উপায়..
- we
- ওয়েব
- ওয়েব ভিত্তিক
- ওয়েবসাইট
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- ছিল
- কি
- কখন
- যে
- যখন
- হু
- প্রস্থ
- ইচ্ছা
- সঙ্গে
- ওয়ার্ডপ্রেস
- ওয়ার্ডপ্রেস প্লাগইন
- শব্দ
- কাজ
- খারাপ
- would
- এখনো
- আপনি
- আপনার
- zephyrnet