اگر آپ اس کے ساتھ ورڈپریس سائٹ چلاتے ہیں۔ حتمی ممبران پلگ ان انسٹال ہے، یقینی بنائیں کہ آپ نے اسے تازہ ترین ورژن میں اپ ڈیٹ کر دیا ہے۔
ہفتے کے آخر میں، پلگ ان کے تخلیق کار نے ورژن شائع کیا۔ 2.6.7، جو صارف کے ذریعہ بیان کردہ ایک سنگین حفاظتی سوراخ کو پیچ کرنے والا سمجھا جاتا ہے۔ @softwaregeek ورڈپریس سپورٹ سائٹ پر مندرجہ ذیل:
پلگ ان میں ایک اہم خطرہ (CVE-2023-3460) ایک غیر تصدیق شدہ حملہ آور کو بطور ایڈمنسٹریٹر رجسٹر کرنے اور ویب سائٹ کا مکمل کنٹرول حاصل کرنے کی اجازت دیتا ہے۔ مسئلہ پلگ ان رجسٹریشن فارم کے ساتھ ہوتا ہے۔ اس فارم میں اکاؤنٹ کے اندراج کے لیے کچھ اقدار کو تبدیل کرنا ممکن نظر آتا ہے۔ اس میں شامل ہے۔
wp_capabilities
قدر، جو ویب سائٹ پر صارف کے کردار کا تعین کرتی ہے۔پلگ ان صارفین کو اس قدر میں داخل ہونے کی اجازت نہیں دیتا ہے، لیکن یہ فلٹر نظر انداز کرنا آسان ہوتا ہے، جس سے ترمیم کرنا ممکن ہو جاتا ہے۔
wp_capabilities
اور ایڈمن بنیں۔
دوسرے لفظوں میں، آن لائن اپنے اکاؤنٹس بناتے یا ان کا انتظام کرتے وقت، صارفین کو پیش کردہ کلائنٹ سائڈ ویب فارم انہیں باضابطہ طور پر سپر پاورز کے ساتھ سیٹ اپ کرنے کی اجازت نہیں دیتا ہے۔
لیکن بیک اینڈ سافٹ ویئر ان بدمعاش صارفین کو قابل اعتماد طریقے سے تلاش اور بلاک نہیں کرتا جو جان بوجھ کر غلط درخواستیں جمع کراتے ہیں۔
پلگ ان "مطلق آسانی" کا وعدہ کرتا ہے
۔ حتمی ممبر سافٹ ویئر اس کا مقصد ورڈپریس سائٹس کو صارف تک رسائی کی مختلف سطحوں کی پیشکش کرنے میں مدد کرنا ہے، خود کو بطور فہرست درج کرنا "ورڈپریس کے لئے بہترین صارف پروفائل اور ممبرشپ پلگ ان"، اور اس کے اشتہاری بلب میں خود کو اس طرح بول رہا ہے:
ورڈپریس کے لیے #1 صارف پروفائل اور ممبرشپ پلگ ان۔ پلگ ان صارفین کے لیے سائن اپ کرنا اور آپ کی ویب سائٹ کا ممبر بننا آسان بنا دیتا ہے۔ پلگ ان آپ کو اپنی سائٹ میں خوبصورت صارف پروفائلز شامل کرنے کی اجازت دیتا ہے اور یہ جدید آن لائن کمیونٹیز اور ممبرشپ سائٹس بنانے کے لیے بہترین ہے۔ ہلکا پھلکا اور انتہائی قابل توسیع، الٹیمیٹ ممبر آپ کو تقریبا کسی بھی قسم کی سائٹ بنانے کے قابل بنائے گا جہاں صارفین مکمل آسانی کے ساتھ شامل ہو کر ممبر بن سکتے ہیں۔
بدقسمتی سے، پروگرامرز مضبوط سیکورٹی کے ساتھ پلگ ان کے استعمال کی "مطلق آسانی" سے ملنے کی اپنی صلاحیت میں بہت زیادہ پراعتماد نظر نہیں آتے۔
ایک میں سرکاری جواب @softwaregeek کی مذکورہ بالا سیکورٹی رپورٹ پر، کمپنی نے اپنے بگ فکسنگ کے عمل کو اس طرح بیان کیا sic]:
ہم 2.6.3 ورژن سے اس خطرے سے متعلق اصلاحات پر کام کر رہے ہیں جب ہمیں اپنے کسی صارف سے رپورٹ موصول ہوتی ہے۔ ورژن 2.6.4، 2.6.5، 2.6.6 جزوی طور پر اس خطرے کو ختم کرتے ہیں لیکن ہم اب بھی بہترین نتیجہ حاصل کرنے کے لیے WPScan ٹیم کے ساتھ مل کر کام کر رہے ہیں۔ ہمیں تمام ضروری تفصیلات کے ساتھ ان کی رپورٹ بھی ملتی ہے۔
تمام پچھلے ورژن کمزور ہیں اس لیے ہم آپ کی ویب سائٹس کو 2.6.6 پر اپ گریڈ کرنے اور حالیہ سیکیورٹی اور فیچر میں اضافہ حاصل کرنے کے لیے مستقبل میں اپ ڈیٹس رکھنے کا مشورہ دیتے ہیں۔
ہم فی الحال ایک باقی مسئلے کو حل کرنے پر کام کر رہے ہیں اور جلد از جلد ایک مزید اپ ڈیٹ جاری کریں گے۔
کئی جگہوں پر کیڑے
اگر آپ بدنام زمانہ کے دوران سائبرسیکیوریٹی ڈیوٹی پر تھے۔ لاگ 4 شیل کا خطرہ 2021 کے آخر میں کرسمس کی تعطیلات کے سیزن کے دوران، آپ کو معلوم ہوگا کہ پروگرامنگ بگ کی کچھ اقسام کو پیچ کی ضرورت پڑتی ہے جن کو پیچ کی ضرورت ہوتی ہے، وغیرہ۔
مثال کے طور پر، اگر آپ کے پاس اپنے کوڈ میں کسی ایک پوائنٹ پر بفر اوور فلو ہے جہاں آپ نے نادانستہ طور پر 28 بائٹس میموری کو محفوظ کر لیا ہے لیکن اس کا مطلب 128 میں ٹائپ کرنا ہے، اس غلط نمبر کو ٹھیک کرنا ایک ہی بار میں بگ کو پیچ کرنے کے لیے کافی ہوگا۔
اب، تاہم، اب تصور کریں کہ کوڈ میں صرف ایک نقطہ پر غلطی ٹائپنگ کی غلطی کی وجہ سے نہیں تھی، بلکہ یہ اس مفروضے کی وجہ سے ہوئی تھی کہ 28 بائٹس ہر وقت اور تمام جگہوں پر صحیح بفر سائز تھا۔
ہو سکتا ہے کہ آپ اور آپ کی کوڈنگ ٹیم نے آپ کے سافٹ ویئر میں دوسری جگہوں پر بگ کو دہرایا ہو، تاکہ آپ کو بگ ہنٹنگ کے ایک توسیعی سیشن کے لیے طے کرنا پڑے۔
اس طرح، اگر آپ کو اسی یا اسی طرح کی غلطی کی وجہ سے دوسرے کیڑے ملتے ہیں تو آپ فوری طور پر اور فعال طور پر مزید پیچوں کو باہر نکال سکتے ہیں۔ (بگس کو تلاش کرنا عام طور پر آسان ہوتا ہے جب آپ یہ جان لیں کہ پہلے کیا تلاش کرنا ہے۔)
Log4J کیس میں، حملہ آوروں نے کوڈ کو اسکور کرنے کا بھی ارادہ کیا، امید کرتے ہوئے کہ Log4J پروگرامرز سے پہلے کوڈ میں کہیں اور متعلقہ کوڈنگ کی غلطیاں تلاش کر لیں۔
خوش قسمتی سے، Log4J پروگرامنگ ٹیم نہ صرف اپنے کوڈ کا جائزہ لیا۔ متعلقہ کیڑے کو فعال طور پر ٹھیک کرنے کے لیے، بلکہ تصور کے نئے ثبوت کے لیے اپنی نظریں بھی باہر رکھیں۔
کچھ نئی کمزوریوں کو پرجوش بگ ہنٹرز نے عوامی طور پر ظاہر کیا جنہوں نے بظاہر فوری انٹرنیٹ شہرت کو تاخیر سے پہچاننے کی زیادہ سنجیدہ شکل پر ترجیح دی جو انہیں Log4J کوڈرز کو ذمہ داری کے ساتھ بگ کا انکشاف کرنے سے ملے گی۔
ہم نے حالیہ MOVEit کمانڈ انجیکشن کے خطرے میں بھی ایسی ہی صورتحال دیکھی، جہاں Clop ransomware گینگ کے ساتھیوں نے ایک کو تلاش کیا اور اس کا استحصال کیا۔ صفر دن کی خرابی۔ MOVEit کے ویب پر مبنی فرنٹ اینڈ میں، بدمعاشوں کو کمپنی کا حساس ڈیٹا چوری کرنے کی اجازت دیتا ہے اور پھر متاثرین کو بلیک میل کرنے کی کوشش کرتا ہے کہ وہ "ہش منی" ادا کریں۔
پروگریس سافٹ ویئر، MOVEit کے بنانے والوں نے، تیزی سے صفر دن کو ٹھیک کیا، پھر شائع کیا دوسرا پیچ اپنے ہی ایک بگ ہنٹنگ سیشن میں متعلقہ کیڑے ڈھونڈنے کے بعد، تھوڑی دیر بعد ایک تیسرا پیچ شائع کرنے کے لیے، جب ایک خود ساختہ خطرے کے شکاری کو ایک اور سوراخ ملا جو پروگریس نے کھو دیا تھا۔
افسوس کی بات ہے کہ اس "محققین" نے اس خطرے کو تلاش کرنے کے لیے کریڈٹ کا دعویٰ کرنے کا فیصلہ کیا کسی کو اور ہر کسی کو دیکھنے کے لئےپہلے اس سے نمٹنے کے لیے ایک یا دو دن پیش رفت دینے کے بجائے۔
اس نے پروگریس کو ایک اور صفر دن ہونے کا اعلان کرنے پر مجبور کیا، اور پروگریس کے صارفین کو تقریباً 24 گھنٹے کے لیے سافٹ ویئر کے چھوٹے حصے کو مکمل طور پر بند کرنے پر مجبور کیا جب کہ پیچ بنایا گیا تھا اور تجربہ کیا.
اس میں حتمی ممبران بگ کی صورت حال، پلگ ان بنانے والے MOVEit کے بنانے والوں کی طرح سوچ سمجھ کر نہیں تھے، جنہوں نے واضح طور پر اپنے صارفین کو سافٹ ویئر کا استعمال بند کرنے کا مشورہ دیا تھا جب کہ اس نئے اور قابل استعمال سوراخ کو پیچ کیا گیا تھا۔
الٹیمیٹ ممبرز نے محض اپنے صارفین کو مشورہ دیا کہ وہ جاری اپ ڈیٹس کے لیے اپنی نظریں دور رکھیں، جن میں سے حال ہی میں شائع ہونے والا 2.6.7 بگ فکسز کے سلسلے میں چوتھا نمبر ہے جو پہلی بار جون 2023 کے وسط میں دیکھا گیا تھا، جب 2.6.3 تھا۔ موجودہ ورژن نمبر۔
کیا کیا جائے؟
- اگر آپ UltimateMember صارف ہیں، تو فوری طور پر پیچ کریں۔ جس طرح سے پلگ ان کی کوڈنگ ٹیم اس مسئلے کو حل کرتی نظر آتی ہے اس کو دیکھتے ہوئے، یقینی بنائیں کہ آپ مستقبل کے اپ ڈیٹس پر نظر رکھتے ہیں اور جتنی جلدی ہو سکے ان کا اطلاق بھی کریں۔
- اگر آپ سرور سائیڈ پروگرامر ہیں، تو ہمیشہ بدترین فرض کریں۔ اس بات کو یقینی بنانے کے لیے کہ جمع کردہ ان پٹ ڈیٹا محفوظ ہے، کبھی بھی کلائنٹ سائڈ کوڈ پر انحصار نہ کریں جسے آپ کنٹرول نہیں کر سکتے، جیسے کہ HTML یا JavaScript جو صارف کے براؤزر میں چلتا ہے۔ اپنے ان پٹس کی توثیق کریں۔جیسا کہ ہم ننگی سیکیورٹی پر کہنا چاہتے ہیں۔ ہمیشہ پیمائش کریں، کبھی فرض نہ کریں۔
- اگر آپ پروگرامر ہیں، تو کسی بھی مسئلے کی اطلاع ملنے پر متعلقہ مسائل کے لیے وسیع پیمانے پر تلاش کریں۔ ایک پروگرامر کے ذریعہ ایک جگہ پر کی گئی کوڈنگ کی غلطیاں کہیں اور نقل کی گئی ہوں گی، یا تو اسی کوڈر کے ذریعہ پروجیکٹ کے دوسرے حصوں پر کام کر رہے ہیں، یا دوسرے کوڈرز کے ذریعہ بری عادتیں "سیکھنے" یا بھروسے کے ساتھ غلط ڈیزائن مفروضوں پر عمل کرنا۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- : ہے
- : نہیں
- :کہاں
- $UP
- 1
- 15٪
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- کی صلاحیت
- ہمارے بارے میں
- اوپر
- مطلق
- تک رسائی حاصل
- اکاؤنٹ
- اکاؤنٹس
- شامل کریں
- خطاب کرتے ہوئے
- منتظم
- اعلی درجے کی
- اشتہار.
- کے بعد
- بعد
- تمام
- کی اجازت
- اجازت دے رہا ہے
- کی اجازت دیتا ہے
- ساتھ
- بھی
- ہمیشہ
- an
- اور
- ایک اور
- کوئی بھی
- ظاہر ہوتا ہے
- کا اطلاق کریں
- کیا
- AS
- فرض کرو
- مفروضہ
- At
- مصنف
- آٹو
- پیچھے کے آخر میں
- پس منظر کی تصویر
- برا
- BE
- خوبصورت
- بن
- رہا
- اس سے پہلے
- BEST
- بلیک میل
- بلاک
- سرحد
- پایان
- بیار
- موٹے طور پر
- براؤزر
- بفر
- بفر اوور فلو
- بگ کی اطلاع دیں
- کیڑے کا شکار
- کیڑوں
- لیکن
- by
- کر سکتے ہیں
- کیس
- وجہ
- سینٹر
- کچھ
- چین
- تبدیل
- کرسمس
- کا دعوی
- کلوز
- کوڈ
- کوڈر
- کوڈنگ
- رنگ
- کمیونٹی
- کمپنی کے
- اعتماد
- کنٹرول
- احاطہ
- تخلیق
- تخلیق
- خالق
- کریڈٹ
- اہم
- موجودہ
- اس وقت
- گاہک
- گاہکوں
- سائبر سیکیورٹی
- اعداد و شمار
- دن
- نمٹنے کے
- فیصلہ کیا
- تاخیر
- بیان کیا
- ڈیزائن
- تفصیلات
- یہ تعین
- DID
- انکشاف کرنا
- دکھائیں
- do
- نہیں کرتا
- نہیں
- نیچے
- کے دوران
- ابتدائی
- کو کم
- آسان
- آسان
- یا تو
- دوسری جگہوں پر
- کو چالو کرنے کے
- آخر
- اضافہ
- کافی
- کو یقینی بنانے کے
- درج
- مکمل
- نقائص
- سب
- مثال کے طور پر
- استحصال کیا۔
- استحصال
- آنکھیں
- پرسدد
- نمایاں کریں
- فلٹر
- مل
- تلاش
- پہلا
- درست کریں
- کے بعد
- کے لئے
- فارم
- ملا
- چوتھے نمبر پر
- سے
- سامنے
- سامنے کے آخر میں
- مکمل
- مزید
- مستقبل
- گینگ
- عام طور پر
- حاصل
- حاصل کرنے
- دی
- دے
- Go
- تھا
- ہے
- اونچائی
- مدد
- انتہائی
- چھید
- امید کر
- HOURS
- ہور
- تاہم
- HTML
- HTTPS
- ہنٹر
- if
- تصور
- in
- شامل ہیں
- بدنام
- ان پٹ
- نصب
- فوری
- انٹرنیٹ
- میں
- مسئلہ
- مسائل
- IT
- میں
- خود
- جاوا سکرپٹ
- میں شامل
- جون
- صرف
- صرف ایک
- رکھیں
- رکھی
- جان
- تازہ ترین
- چھوڑ دیا
- آو ہم
- سطح
- ہلکا پھلکا
- کی طرح
- لسٹنگ
- log4j
- دیکھو
- بنا
- بنا
- سازوں
- بناتا ہے
- بنانا
- مینیجنگ
- بہت سے
- مارجن
- میچ
- زیادہ سے زیادہ چوڑائی
- مئی..
- مراد
- پیمائش
- رکن
- اراکین
- رکنیت
- یاد داشت
- محض
- مشرق
- شاید
- یاد آیا
- غلطی
- غلطیوں
- زیادہ
- ننگی سیکیورٹی
- ضروری
- ضرورت ہے
- ضرورت ہے
- کبھی نہیں
- نئی
- عام
- تعداد
- of
- بند
- پیش کرتے ہیں
- سرکاری طور پر
- on
- ایک بار
- ایک
- جاری
- آن لائن
- آن لائن کمیونٹی
- صرف
- or
- دیگر
- ہمارے
- باہر
- پر
- خود
- حصہ
- حصے
- پیچ
- پیچ
- پال
- ادائیگی
- کامل
- مقام
- مقامات
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- رابطہ بحال کرو
- پوائنٹ
- پوزیشن
- ممکن
- مراسلات
- کو ترجیح دی
- پیش
- پچھلا
- مسئلہ
- عمل
- پروفائل
- پروفائلز
- پروگرامر
- پروگرامر
- پروگرامنگ
- پیش رفت
- منصوبے
- وعدہ کیا ہے
- عوامی طور پر
- شائع
- شائع
- پبلشنگ
- پش
- جلدی سے
- ransomware کے
- بلکہ
- حال ہی میں
- حال ہی میں
- تسلیم
- سفارش
- رجسٹر
- رجسٹرڈ
- رجسٹریشن
- متعلقہ
- رشتہ دار
- جاری
- انحصار کرو
- باقی
- بار بار
- رپورٹ
- اطلاع دی
- درخواستوں
- محفوظ
- نتیجہ
- ٹھیک ہے
- کردار
- رن
- چلتا ہے
- محفوظ
- اسی
- دیکھا
- کا کہنا ہے کہ
- تلاش کریں
- موسم
- سیکورٹی
- لگتا ہے
- حساس
- سنگین
- اجلاس
- مقرر
- حل کرو
- جلد ہی
- اسی طرح
- بعد
- ایک
- سائٹ
- سائٹس
- صورتحال
- سائز
- So
- آرام سے
- سافٹ ویئر کی
- ٹھوس
- کچھ
- جلد ہی
- ابھی تک
- بند کرو
- مضبوط
- جمع
- جمع کرائی
- اس طرح
- حمایت
- سمجھا
- اس بات کا یقین
- SVG
- لے لو
- بات کر
- ٹیم
- تجربہ
- سے
- کہ
- ۔
- مستقبل
- ان
- ان
- خود
- تو
- وہ
- تھرڈ
- اس
- خطرہ
- اوقات
- کرنے کے لئے
- مل کر
- بھی
- سب سے اوپر
- منتقلی
- شفاف
- کوشش
- ٹرن
- دیتا ہے
- دو
- قسم
- اقسام
- حتمی
- اپ ڈیٹ کریں
- اپ ڈیٹ
- تازہ ترین معلومات
- اپ گریڈ
- URL
- استعمال کی شرائط
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- چھٹی
- قیمت
- اقدار
- مختلف
- ورژن
- متاثرین
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- تھا
- راستہ..
- we
- ویب
- ویب پر مبنی ہے
- ویب سائٹ
- ویب سائٹ
- ہفتے کے آخر میں
- تھے
- کیا
- جب
- جس
- جبکہ
- ڈبلیو
- چوڑائی
- گے
- ساتھ
- WordPress
- ورڈپریس پلگ ان
- الفاظ
- کام کر
- بدترین
- گا
- ابھی
- تم
- اور
- زیفیرنیٹ