पेन्का ह्रिस्तोव्स्का
पर प्रकाशित: जनवरी ७,२०२१
सुरक्षा शोधकर्ताओं ने एक लोकप्रिय वर्डप्रेस प्लगइन में महत्वपूर्ण कमजोरियों की एक जोड़ी को उजागर किया है जो संभावित रूप से हैकर्स को प्रभावित वेबसाइटों पर पूर्ण नियंत्रण की अनुमति दे सकता है। ईमेल डिलीवरी टूल POST SMTP मेलर वर्डप्रेस प्लगइन में कमजोरियां पाई गईं, जिसे 300,000 से अधिक वेबसाइटों पर इंस्टॉल किया गया है।
कमजोरियों का पता सीन मर्फी और यूलिसिस साइचा, शोधकर्ताओं द्वारा लगाया गया था Wordfence, एक अग्रणी साइबर सुरक्षा फर्म। उन्होंने बताया कि कमजोरियाँ दुर्भावनापूर्ण अभिनेताओं को मेलर की प्रमाणीकरण एपीआई कुंजी और एक्सेस लॉग को रीसेट करने में सक्षम कर सकती हैं, जिसमें पासवर्ड रीसेट ईमेल शामिल हो सकते हैं।
प्लगइन में पहचानी गई दो कमजोरियों में से सबसे महत्वपूर्ण CVE-2023-6875 है, जिसे CVSS पैमाने पर 9.8 रेटिंग दी गई है और यह प्लगइन के सभी संस्करणों को 2.8.7 तक प्रभावित करता है।
अधिक विशेष रूप से, यह प्लगइन के कनेक्ट-ऐप REST एंडपॉइंट में "टाइप बाजीगरी" के कारण होने वाला एक प्राधिकरण बाईपास दोष है। यह भेद्यता प्रमाणीकरण के लिए एपीआई कुंजी को रीसेट करने की अनुमति देती है, जिससे पासवर्ड रीसेट ईमेल सहित संवेदनशील लॉग डेटा तक पहुंच हो सकती है। इसका अनिवार्य रूप से मतलब यह है कि हैकर्स किसी प्रशासक के लिए पासवर्ड रीसेट शुरू कर सकते हैं, जिससे वे वेबसाइट से बाहर हो जाएंगे।
CVE-2023-7027 के रूप में पहचानी जाने वाली अन्य भेद्यता एक XSS (स्टोर क्रॉस-साइट स्क्रिप्टिंग) समस्या है। सीवीएसएस स्कोर पर इसे 7.2 पर निचले स्थान पर रखा गया है, लेकिन इसे अभी भी एक उच्च-गंभीरता वाला मुद्दा माना जाता है। शोधकर्ताओं ने बताया कि यह 2.8.7 और इससे पहले के संस्करणों में "अपर्याप्त इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग" से उत्पन्न होता है, और संभावित हमलावरों को वेब पेजों में हानिकारक स्क्रिप्ट एम्बेड करने की अनुमति देता है, जो तब निष्पादित होते हैं जब कोई उपयोगकर्ता समझौता किए गए पृष्ठ पर जाता है।
पूर्ण व्यवस्थापक विशेषाधिकारों के साथ, एक हैकर वर्डप्रेस साइट पर पूर्ण नियंत्रण प्राप्त कर सकता है और प्लगइन्स और थीम को संशोधित कर सकता है, सामग्री को संपादित, प्रकाशित और अप्रकाशित कर सकता है, बैकडोर प्लांट कर सकता है और उपयोगकर्ताओं को असुरक्षित गंतव्यों पर निर्देशित कर सकता है।
प्लगइन के विक्रेता द्वारा जारी सुरक्षा POST SMTP प्लगइन के संस्करण 2.8.8 में सुधार करती है, जो इस साल 1 जनवरी को जारी किया गया था। दुर्भाग्य से, प्लगइन का उपयोग करने वाली लगभग 50% वेबसाइटें कमजोर संस्करण का उपयोग कर रही हैं रिपोर्टों. प्लगइन उपयोगकर्ताओं को संभावित हमलों से अपनी वेबसाइटों की सुरक्षा के लिए नवीनतम संस्करण में अपग्रेड करने के लिए दृढ़ता से प्रोत्साहित किया जाता है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.safetydetectives.com/news/150000-wordpress-sites-at-risk-due-to-vulnerable-plugin/
- :हैस
- :है
- $यूपी
- 000
- 1
- 150
- 17
- 300
- 40
- 7
- 8
- 9
- a
- पहुँच
- अनुसार
- अभिनेताओं
- लग जाना
- सहबद्ध
- के खिलाफ
- सब
- अनुमति देना
- की अनुमति देता है
- लगभग
- an
- और
- एपीआई
- हैं
- AS
- At
- आक्रमण
- प्रमाणीकरण
- प्राधिकरण
- अवतार
- पिछले दरवाजे
- किया गया
- लेकिन
- by
- उपमार्ग
- कर सकते हैं
- के कारण होता
- पूरा
- छेड़छाड़ की गई
- माना
- सामग्री
- नियंत्रण
- सका
- महत्वपूर्ण
- साइबर सुरक्षा
- तिथि
- प्रसव
- स्थलों
- पता चला
- प्रत्यक्ष
- दो
- पूर्व
- ईमेल
- ईमेल
- एम्बेड
- सक्षम
- प्रोत्साहित किया
- endpoint
- अनिवार्य
- मार डाला
- समझाया
- फर्म
- स्थिर
- दोष
- के लिए
- पाया
- से
- पूर्ण
- लाभ
- हैकर
- हैकर्स
- हानिकारक
- है
- HTTPS
- पहचान
- Impacts
- in
- शामिल
- सहित
- आरंभ
- निवेश
- installed
- में
- मुद्दा
- IT
- जॉन
- कुंजी
- नेतृत्व
- प्रमुख
- LINK
- लॉग इन
- कम
- दुर्भावनापूर्ण
- साधन
- हो सकता है
- संशोधित
- अधिकांश
- of
- on
- अन्य
- आउट
- उत्पादन
- के ऊपर
- पृष्ठ
- पृष्ठों
- जोड़ा
- पासवर्ड
- पासवर्ड रीसेट
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- लगाना
- plugins
- लोकप्रिय
- पद
- संभावित
- संभावित
- विशेषाधिकारों
- रक्षा करना
- प्रकाशित करना
- वें स्थान पर
- मूल्यांकन किया
- हाल
- रिहा
- शोधकर्ताओं
- बाकी
- जोखिम
- स्केल
- स्कोर
- लिपियों
- शॉन
- सुरक्षा
- संवेदनशील
- साइट
- साइटें
- विशेष रूप से
- फिर भी
- की दुकान
- दृढ़ता से
- कि
- RSI
- लेकिन हाल ही
- उन
- विषयों
- फिर
- वे
- इसका
- इस वर्ष
- सेवा मेरे
- साधन
- दो
- पर्दाफाश
- दुर्भाग्य से
- उन्नयन
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग
- संस्करण
- संस्करणों
- दौरा
- कमजोरियों
- भेद्यता
- चपेट में
- था
- वेब
- webp
- वेबसाइट
- वेबसाइटों
- थे
- कब
- कौन कौन से
- WordPress
- WordPress प्लगइन
- XSS
- वर्ष
- जेफिरनेट