ঝুঁকিপূর্ণ প্লাগইনের কারণে 150,000 ওয়ার্ডপ্রেস সাইট ঝুঁকিপূর্ণ

ঝুঁকিপূর্ণ প্লাগইনের কারণে 150,000 ওয়ার্ডপ্রেস সাইট ঝুঁকিপূর্ণ

সময় স্ট্যাম্প: 17 জানুয়ারী, 2024 10:06 এএম

পেনকা হরিস্টভস্কা পেনকা হরিস্টভস্কা
প্রকাশিত: জানুয়ারী 17, 2024

নিরাপত্তা গবেষকরা একটি জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইনে এক জোড়া জটিল দুর্বলতা উন্মোচন করেছেন যা হ্যাকারদের প্রভাবিত ওয়েবসাইটগুলির উপর সম্পূর্ণ নিয়ন্ত্রণের অনুমতি দিতে পারে। ইমেল ডেলিভারি টুল POST SMTP মেইলার ওয়ার্ডপ্রেস প্লাগইনে দুর্বলতাগুলি পাওয়া গেছে, যা 300,000 টিরও বেশি ওয়েবসাইটে ইনস্টল করা হয়েছে।

দুর্বলতাগুলি শন মারফি এবং ইউলিসিস সাইচা দ্বারা সনাক্ত করা হয়েছিল, সেখানকার গবেষকরা Wordfence, একটি নেতৃস্থানীয় সাইবার নিরাপত্তা সংস্থা. তারা ব্যাখ্যা করেছে যে দুর্বলতাগুলি দূষিত অভিনেতাদের মেইলারের প্রমাণীকরণ API কী এবং অ্যাক্সেস লগগুলি পুনরায় সেট করতে সক্ষম করতে পারে, যার মধ্যে পাসওয়ার্ড রিসেট ইমেল অন্তর্ভুক্ত থাকতে পারে।

প্লাগইনের দুটি চিহ্নিত দুর্বলতার মধ্যে সবচেয়ে সমালোচনামূলক হল CVE-2023-6875, যেটিকে CVSS স্কেলে 9.8 রেট দেওয়া হয়েছে এবং 2.8.7 পর্যন্ত প্লাগইনের সমস্ত সংস্করণকে প্রভাবিত করে৷

আরও নির্দিষ্টভাবে, এটি প্লাগইনের সংযোগ-অ্যাপ REST এন্ডপয়েন্টে "টাইপ জাগলিং" এর কারণে একটি অনুমোদন বাইপাস ত্রুটি। এই দুর্বলতা প্রমাণীকরণের জন্য API কী পুনরায় সেট করার অনুমতি দেয়, যা পাসওয়ার্ড রিসেট ইমেল সহ সংবেদনশীল লগ ডেটা অ্যাক্সেস করতে পারে। এর অর্থ হল হ্যাকাররা প্রশাসকের জন্য একটি পাসওয়ার্ড রিসেট শুরু করতে পারে, তাদের ওয়েবসাইট থেকে লক করে দেয়।

CVE-2023-7027 হিসাবে চিহ্নিত অন্যান্য দুর্বলতা হল একটি XSS (স্টোর ক্রস-সাইট স্ক্রিপ্টিং) সমস্যা। এটি সিভিএসএস স্কোরে 7.2-এ নিম্ন স্থান পেয়েছে, তবে এটি এখনও একটি উচ্চ-তীব্রতার সমস্যা হিসাবে বিবেচিত হয়। গবেষকরা ব্যাখ্যা করেছেন যে এটি 2.8.7 এবং তার আগের সংস্করণগুলিতে "অপ্রতুল ইনপুট স্যানিটাইজেশন এবং আউটপুট এস্কেপিং" থেকে উদ্ভূত হয়েছে এবং সম্ভাব্য আক্রমণকারীদের ওয়েব পৃষ্ঠাগুলিতে ক্ষতিকারক স্ক্রিপ্টগুলি এম্বেড করার অনুমতি দেয়, যেগুলি তখন কার্যকর করা হয় যখন কোনও ব্যবহারকারী আপোস করা পৃষ্ঠায় যান।

সম্পূর্ণ অ্যাডমিনিস্ট্রেটর সুবিধার সাথে, একজন হ্যাকার ওয়ার্ডপ্রেস সাইটের উপর সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে পারে এবং প্লাগইন এবং থিম পরিবর্তন করতে পারে, বিষয়বস্তু সম্পাদনা করতে পারে, প্রকাশ করতে পারে এবং অপ্রকাশিত করতে পারে, ব্যাকডোর প্লান্ট করতে পারে এবং ব্যবহারকারীদের অনিরাপদ গন্তব্যে নিয়ে যেতে পারে।

POST SMTP প্লাগইনের সংস্করণ 2.8.8-এ প্লাগইনের বিক্রেতা-ইস্যু করা নিরাপত্তা সংশোধন করেছে, যা এই বছরের 1 জানুয়ারিতে প্রকাশিত হয়েছিল৷ দুর্ভাগ্যবশত, প্লাগইন ব্যবহার করে প্রায় 50% ওয়েবসাইট একটি দুর্বল সংস্করণ ব্যবহার করছে, অনুযায়ী রিপোর্ট. প্লাগইন ব্যবহারকারীদের দৃঢ়ভাবে তাদের ওয়েবসাইটগুলিকে সম্ভাব্য আক্রমণ থেকে রক্ষা করার জন্য সাম্প্রতিকতম সংস্করণে আপগ্রেড করার জন্য উত্সাহিত করা হয়৷

সময় স্ট্যাম্প:

থেকে আরো সুরক্ষা গোয়েন্দা