ವರ್ಡ್ಪ್ರೆಸ್ ವೆಬ್ ವಿಷಯ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಾಗಿ ಮೂರು ಜನಪ್ರಿಯ ಪ್ಲಗಿನ್ಗಳಲ್ಲಿ, 400 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸ್ಥಾಪನೆಗಳೊಂದಿಗೆ, :
- ಪ್ಲಗಿನ್ನಲ್ಲಿ , ಇದು 300 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸಕ್ರಿಯ ಸ್ಥಾಪನೆಗಳನ್ನು ಹೊಂದಿದೆ, ಸೈಟ್ ನಿರ್ವಾಹಕರಾಗಿ ದೃಢೀಕರಿಸದೆ ಸಂಪರ್ಕಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಸರ್ವರ್ನಲ್ಲಿ ಹಲವಾರು ಸೈಟ್ಗಳ ನಿರ್ವಹಣೆಯನ್ನು ಏಕೀಕರಿಸಲು ಪ್ಲಗಿನ್ ಅನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿರುವುದರಿಂದ, ಆಕ್ರಮಣಕಾರರು InfiniteWP ಕ್ಲೈಂಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸೇವೆ ಸಲ್ಲಿಸಿದ ಎಲ್ಲಾ ಸೈಟ್ಗಳ ನಿಯಂತ್ರಣವನ್ನು ಏಕಕಾಲದಲ್ಲಿ ಪಡೆಯಬಹುದು. ದಾಳಿ ಮಾಡಲು, ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಬಳಕೆದಾರರ ಲಾಗಿನ್ ಅನ್ನು ತಿಳಿದುಕೊಳ್ಳಲು ಸಾಕು, ತದನಂತರ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ POST ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಿ ( ನಿಯತಾಂಕ "add_site" ಅಥವಾ "readd_site"), ನೀವು ಈ ಬಳಕೆದಾರರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ನಿರ್ವಹಣಾ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ನಮೂದಿಸಬಹುದು. ಸ್ವಯಂಚಾಲಿತ ಲಾಗಿನ್ ಕಾರ್ಯದ ಅನುಷ್ಠಾನದಲ್ಲಿನ ದೋಷದಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ.
ಸಮಸ್ಯೆಯನ್ನು InfiniteWP ಕ್ಲೈಂಟ್ 1.9.4.5 ಬಿಡುಗಡೆಯಲ್ಲಿ. - ಪ್ಲಗಿನ್ನಲ್ಲಿ , ಇದು ಸುಮಾರು 80 ಸಾವಿರ ಸೈಟ್ಗಳಲ್ಲಿ ಬಳಸಲ್ಪಡುತ್ತದೆ. ಮೊದಲ ದುರ್ಬಲತೆಯು ದೃಢೀಕರಣವನ್ನು ರವಾನಿಸದೆಯೇ ಡೇಟಾಬೇಸ್ನಲ್ಲಿನ ಯಾವುದೇ ಕೋಷ್ಟಕಗಳ ವಿಷಯಗಳನ್ನು ಆರಂಭಿಕ ಸ್ಥಿತಿಗೆ ಮರುಹೊಂದಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ (ತಾಜಾ ವರ್ಡ್ಪ್ರೆಸ್ ಸ್ಥಾಪನೆಯ ಸ್ಥಿತಿಯ ಪರಿಣಾಮವಾಗಿ, ಸೈಟ್ಗೆ ಸಂಬಂಧಿಸಿದ ಡೇಟಾವನ್ನು ಅಳಿಸುವುದು). ಮರುಹೊಂದಿಸುವ ಕಾರ್ಯವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ ಕಾಣೆಯಾದ ಅನುಮತಿ ಪರಿಶೀಲನೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.
WP ಡೇಟಾಬೇಸ್ ರೀಸೆಟ್ನಲ್ಲಿನ ಎರಡನೇ ದುರ್ಬಲತೆಗೆ ದೃಢೀಕೃತ ಪ್ರವೇಶದ ಅಗತ್ಯವಿದೆ (ಕನಿಷ್ಠ ಚಂದಾದಾರರ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿರುವ ಖಾತೆಯು ಸಾಕಾಗುತ್ತದೆ) ಮತ್ತು ಸೈಟ್ ನಿರ್ವಾಹಕರ ಸವಲತ್ತುಗಳನ್ನು ಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ (ನೀವು ಎಲ್ಲಾ ಬಳಕೆದಾರರನ್ನು wp_users ಕೋಷ್ಟಕದಿಂದ ಅಳಿಸಬಹುದು, ಅದರ ನಂತರ ಪ್ರಸ್ತುತ ಉಳಿದ ಬಳಕೆದಾರರನ್ನು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ ನಿರ್ವಾಹಕರು). ಬಿಡುಗಡೆ 3.15 ರಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
- ಪ್ಲಗಿನ್ನಲ್ಲಿ , ಇದು 20 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸ್ಥಾಪನೆಗಳನ್ನು ಹೊಂದಿದೆ, ದೃಢೀಕರಣವಿಲ್ಲದೆಯೇ ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸಂಪರ್ಕಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಆಕ್ರಮಣವನ್ನು ಕೈಗೊಳ್ಳಲು, POST ವಿನಂತಿಗೆ IWP_JSON_PREFIX ಸಾಲನ್ನು ಸೇರಿಸಲು ಸಾಕು, ಮತ್ತು ಇದ್ದರೆ, wptc_login_as_admin ಕಾರ್ಯವನ್ನು ಯಾವುದೇ ಪರಿಶೀಲನೆಗಳಿಲ್ಲದೆ ಕರೆಯಲಾಗುತ್ತದೆ. ಸಮಸ್ಯೆ ಬಿಡುಗಡೆ 1.21.16 ರಲ್ಲಿ.
ಮೂಲ: opennet.ru