Wordfence ಮತ್ತು WebARX ನ ಭದ್ರತಾ ಸಂಶೋಧಕರು ವರ್ಡ್ಪ್ರೆಸ್ ವೆಬ್ ವಿಷಯ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಾಗಿ ಐದು ಪ್ಲಗಿನ್ಗಳಲ್ಲಿ ಹಲವಾರು ಅಪಾಯಕಾರಿ ದೋಷಗಳನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ, ಒಟ್ಟು ಒಂದು ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಸ್ಥಾಪನೆಗಳು.
- ಪ್ಲಗಿನ್ನಲ್ಲಿ , ಇದು 700 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸ್ಥಾಪನೆಗಳನ್ನು ಹೊಂದಿದೆ. ಸಮಸ್ಯೆಯನ್ನು 9 ರಲ್ಲಿ ತೀವ್ರತೆಯ ಮಟ್ಟ 10 (CVSS) ಎಂದು ರೇಟ್ ಮಾಡಲಾಗಿದೆ. ದುರ್ಬಲತೆಯು ಚಂದಾದಾರರ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿರುವ ದೃಢೀಕೃತ ಬಳಕೆದಾರರಿಗೆ ಸೈಟ್ನ ಯಾವುದೇ ಪುಟವನ್ನು ಅಳಿಸಲು ಅಥವಾ ಮರೆಮಾಡಲು (ಅಪ್ರಕಟಿತ ಡ್ರಾಫ್ಟ್ಗೆ ಸ್ಥಿತಿಯನ್ನು ಬದಲಾಯಿಸಲು) ಅನುಮತಿಸುತ್ತದೆ, ಹಾಗೆಯೇ ಪುಟಗಳಲ್ಲಿ ತಮ್ಮದೇ ಆದ ವಿಷಯವನ್ನು ಬದಲಿಸುತ್ತದೆ.
ದುರ್ಬಲತೆ ಬಿಡುಗಡೆ 1.8.3 ರಲ್ಲಿ. - ಪ್ಲಗಿನ್ನಲ್ಲಿ , 200 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸ್ಥಾಪನೆಗಳು (ಸೈಟ್ಗಳಲ್ಲಿ ನೈಜ ದಾಳಿಗಳನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ, ಅದರ ಪ್ರಾರಂಭದ ನಂತರ ಮತ್ತು ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಡೇಟಾ ಕಾಣಿಸಿಕೊಂಡ ನಂತರ, ಸ್ಥಾಪನೆಗಳ ಸಂಖ್ಯೆ ಈಗಾಗಲೇ 100 ಸಾವಿರಕ್ಕೆ ಇಳಿದಿದೆ). ದುರ್ಬಲತೆಯು ದೃಢೀಕರಿಸದ ಸಂದರ್ಶಕರಿಗೆ ಸೈಟ್ನ ಡೇಟಾಬೇಸ್ನ ವಿಷಯಗಳನ್ನು ತೆರವುಗೊಳಿಸಲು ಮತ್ತು ಡೇಟಾಬೇಸ್ ಅನ್ನು ತಾಜಾ ಅನುಸ್ಥಾಪನಾ ಸ್ಥಿತಿಗೆ ಮರುಹೊಂದಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ನಿರ್ವಾಹಕ ಹೆಸರಿನ ಬಳಕೆದಾರರು ಇದ್ದರೆ, ದುರ್ಬಲತೆಯು ಸೈಟ್ನ ಮೇಲೆ ಸಂಪೂರ್ಣ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. /wp-admin/admin-ajax.php ಸ್ಕ್ರಿಪ್ಟ್ ಮೂಲಕ ಸವಲತ್ತು ಪಡೆದ ಆಜ್ಞೆಗಳನ್ನು ನೀಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಿರುವ ಬಳಕೆದಾರನನ್ನು ದೃಢೀಕರಿಸುವಲ್ಲಿ ವಿಫಲತೆಯಿಂದಾಗಿ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. ಆವೃತ್ತಿ 1.6.2 ರಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
- ಪ್ಲಗಿನ್ನಲ್ಲಿ , 44 ಸಾವಿರ ಸೈಟ್ಗಳಲ್ಲಿ ಬಳಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯು 9.8 ರಲ್ಲಿ 10 ರ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯು ದೃಢೀಕರಿಸದ ಬಳಕೆದಾರರಿಗೆ ತಮ್ಮ PHP ಕೋಡ್ ಅನ್ನು ಸರ್ವರ್ನಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಮತ್ತು REST-API ಮೂಲಕ ವಿಶೇಷ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಸೈಟ್ ನಿರ್ವಾಹಕರ ಖಾತೆಯನ್ನು ಬದಲಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ದುರ್ಬಲತೆಯ ಶೋಷಣೆಯ ಪ್ರಕರಣಗಳನ್ನು ಈಗಾಗಲೇ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ದಾಖಲಿಸಲಾಗಿದೆ, ಆದರೆ ಸರಿಪಡಿಸುವಿಕೆಯೊಂದಿಗೆ ನವೀಕರಣವು ಇನ್ನೂ ಲಭ್ಯವಿಲ್ಲ. ಈ ಪ್ಲಗಿನ್ ಅನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ತೆಗೆದುಹಾಕಲು ಬಳಕೆದಾರರಿಗೆ ಸಲಹೆ ನೀಡಲಾಗುತ್ತದೆ. - ಪ್ಲಗಿನ್ನಲ್ಲಿ , 60 ಸಾವಿರ ಸ್ಥಾಪನೆಗಳು. ಸಮಸ್ಯೆಯನ್ನು 8.8 ರಲ್ಲಿ 10 ರ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯು ಚಂದಾದಾರರ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿರುವವರು ಸೇರಿದಂತೆ ಯಾವುದೇ ದೃಢೀಕೃತ ಸಂದರ್ಶಕರಿಗೆ ತಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಸೈಟ್ ನಿರ್ವಾಹಕರಿಗೆ ಹೆಚ್ಚಿಸಲು ಅಥವಾ wpCentral ನಿಯಂತ್ರಣ ಫಲಕಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಆವೃತ್ತಿ 1.5.1 ರಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
- ಪ್ಲಗಿನ್ನಲ್ಲಿ , ಸುಮಾರು 65 ಸಾವಿರ ಸ್ಥಾಪನೆಗಳೊಂದಿಗೆ. ಸಮಸ್ಯೆಯು 10 ರಲ್ಲಿ 10 ರ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯು ದೃಢೀಕರಿಸದ ಬಳಕೆದಾರರಿಗೆ ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಖಾತೆಯನ್ನು ರಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ (ಪ್ಲಗಿನ್ ನಿಮಗೆ ನೋಂದಣಿ ಫಾರ್ಮ್ಗಳನ್ನು ರಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಬಳಕೆದಾರನು ಬಳಕೆದಾರರ ಪಾತ್ರದೊಂದಿಗೆ ಹೆಚ್ಚುವರಿ ಕ್ಷೇತ್ರವನ್ನು ಸರಳವಾಗಿ ರವಾನಿಸಬಹುದು. ಇದು ನಿರ್ವಾಹಕರ ಮಟ್ಟ). ಆವೃತ್ತಿ 3.1.1 ರಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
ಜೊತೆಗೆ, ಇದನ್ನು ಗಮನಿಸಬಹುದು ಟ್ರೋಜನ್ ಪ್ಲಗಿನ್ಗಳು ಮತ್ತು ವರ್ಡ್ಪ್ರೆಸ್ ಥೀಮ್ಗಳನ್ನು ವಿತರಿಸಲು ನೆಟ್ವರ್ಕ್ಗಳು. ದಾಳಿಕೋರರು ಕಾಲ್ಪನಿಕ ಡೈರೆಕ್ಟರಿ ಸೈಟ್ಗಳಲ್ಲಿ ಪಾವತಿಸಿದ ಪ್ಲಗಿನ್ಗಳ ಪೈರೇಟೆಡ್ ನಕಲುಗಳನ್ನು ಇರಿಸಿದರು, ಈ ಹಿಂದೆ ರಿಮೋಟ್ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಮತ್ತು ನಿಯಂತ್ರಣ ಸರ್ವರ್ನಿಂದ ಆಜ್ಞೆಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಹಿಂಬಾಗಿಲನ್ನು ಸಂಯೋಜಿಸಿದ್ದಾರೆ. ಒಮ್ಮೆ ಸಕ್ರಿಯಗೊಳಿಸಿದರೆ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ಅಥವಾ ಮೋಸಗೊಳಿಸುವ ಜಾಹೀರಾತನ್ನು ಸೇರಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಆಂಟಿವೈರಸ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಅಥವಾ ನಿಮ್ಮ ಬ್ರೌಸರ್ ಅನ್ನು ನವೀಕರಿಸುವ ಅಗತ್ಯತೆಯ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆಗಳು), ಹಾಗೆಯೇ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಲಗಿನ್ಗಳನ್ನು ವಿತರಿಸುವ ಸೈಟ್ಗಳನ್ನು ಪ್ರಚಾರ ಮಾಡಲು ಹುಡುಕಾಟ ಎಂಜಿನ್ ಆಪ್ಟಿಮೈಸೇಶನ್ಗಾಗಿ. ಪ್ರಾಥಮಿಕ ಮಾಹಿತಿಯ ಪ್ರಕಾರ, ಈ ಪ್ಲಗಿನ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು 20 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸೈಟ್ಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲಾಗಿದೆ. ಬಲಿಪಶುಗಳಲ್ಲಿ ವಿಕೇಂದ್ರೀಕೃತ ಗಣಿಗಾರಿಕೆ ವೇದಿಕೆ, ವ್ಯಾಪಾರ ಸಂಸ್ಥೆ, ಬ್ಯಾಂಕ್, ಹಲವಾರು ದೊಡ್ಡ ಕಂಪನಿಗಳು, ಕ್ರೆಡಿಟ್ ಕಾರ್ಡ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪಾವತಿಗಳಿಗೆ ಪರಿಹಾರಗಳ ಡೆವಲಪರ್, ಐಟಿ ಕಂಪನಿಗಳು ಇತ್ಯಾದಿ.
ಮೂಲ: opennet.ru