Wordfence နှင့် WebARX တို့မှ လုံခြုံရေးသုတေသီများသည် WordPress ဝဘ်အကြောင်းအရာစီမံခန့်ခွဲမှုစနစ်အတွက် ပလပ်အင်ငါးခုတွင် အန္တရာယ်ရှိသော အားနည်းချက်များစွာကို ရှာဖွေတွေ့ရှိခဲ့ပြီး စုစုပေါင်းထည့်သွင်းမှုပေါင်း တစ်သန်းကျော်ရှိသည်။
- plugin ထဲမှာ တပ်ဆင်မှုပေါင်း ၇၀၀,ဝဝဝ ကျော်ရှိသည်။ ပြဿနာကို ပြင်းထန်မှုအဆင့် 700 တွင် 9 (CVSS) အဆင့်သတ်မှတ်ထားသည်။ အားနည်းချက်သည် စာရင်းသွင်းသူအခွင့်အရေးရှိသည့် စစ်မှန်သောအသုံးပြုသူတစ်ဦးအား ဝဘ်ဆိုက်၏မည်သည့်စာမျက်နှာကိုမဆို ထုတ်ဝေမထားသည့်မူကြမ်းအဖြစ် ဖျက်ရန် သို့မဟုတ် ဖျောက်ရန် (အခြေအနေအား ပြောင်းလဲခြင်း) နှင့် စာမျက်နှာများတွင် ၎င်းတို့၏ကိုယ်ပိုင်အကြောင်းအရာကို အစားထိုးနိုင်သည်။
အားနည်းချက် ထုတ်ဝေမှု 1.8.3 တွင်။ - plugin ထဲမှာ ထည့်သွင်းမှုပေါင်း 200 ကျော် (ဆိုက်များပေါ်ရှိ အစစ်အမှန်တိုက်ခိုက်မှုများကို မှတ်တမ်းတင်ထားပါသည်၊ ၎င်းအစပိုင်းနှင့် အားနည်းချက်နှင့်ပတ်သက်သော အချက်အလက်များ၏ အသွင်အပြင်ကို စတင်ပြီးနောက်၊ တပ်ဆင်မှုအရေအတွက်သည် 100 အထိ ကျဆင်းသွားသည်)။ အားနည်းချက်သည် အထောက်အထားမရှိသော ဧည့်သည်တစ်ဦးအား ဝဘ်ဆိုက်၏ ဒေတာဘေ့စ်၏ အကြောင်းအရာများကို ရှင်းလင်းစေပြီး ဒေတာဘေ့စ်ကို အသစ်သော တပ်ဆင်မှုအခြေအနေသို့ ပြန်လည်သတ်မှတ်ခွင့်ပြုသည်။ ဒေတာဘေ့စ်တွင် စီမံခန့်ခွဲသူဟု အမည်ပေးထားသည့် အသုံးပြုသူတစ်ဦးရှိပါက၊ အားနည်းချက်သည် ဆိုက်ကို အပြည့်အဝ ထိန်းချုပ်နိုင်စေမည်ဖြစ်သည်။ အားနည်းချက်သည် /wp-admin/admin-ajax.php script မှတစ်ဆင့် အခွင့်ထူးခံအမိန့်များထုတ်ရန် ကြိုးပမ်းအသုံးပြုသူတစ်ဦးအား စစ်မှန်ကြောင်းအထောက်အထားပြရန် ပျက်ကွက်ခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ ပြဿနာကို ဗားရှင်း 1.6.2 တွင် ဖြေရှင်းထားသည်။
- plugin ထဲမှာ ဆိုဒ်ပေါင်း ၄၄ဝဝဝ တွင် အသုံးပြုခဲ့သည်။ ပြဿနာကို 44 တွင် 9.8 အဆင့်သတ်မှတ်ထားသည်။ အားနည်းချက်သည် အထောက်အထားမရှိသောအသုံးပြုသူတစ်ဦးအား ၎င်းတို့၏ PHP ကုဒ်ကို ဆာဗာပေါ်တွင် လုပ်ဆောင်စေပြီး REST-API မှတစ်ဆင့် အထူးတောင်းဆိုချက်တစ်ခုပေးပို့ခြင်းဖြင့် ဆိုက်စီမံခန့်ခွဲသူအကောင့်ကို အစားထိုးနိုင်သည်။
အားနည်းချက်ကို အသုံးချခြင်းဆိုင်ရာ ကိစ္စရပ်များကို ကွန်ရက်ပေါ်တွင် မှတ်တမ်းတင်ထားပြီးဖြစ်သော်လည်း ပြင်ဆင်ချက်ပါသော အပ်ဒိတ်ကို မရရှိနိုင်သေးပါ။ အသုံးပြုသူများအား ဤပလပ်အင်ကို တတ်နိုင်သမျှ မြန်မြန်ဖယ်ရှားရန် အကြံပြုအပ်ပါသည်။ - plugin ထဲမှာ နံပါတ် 60,ဝဝဝ တပ်ဆင်မှု။ ပြဿနာ 8.8 ခုအနက်မှ 10 ကို ပြင်းထန်မှုအဆင့်သတ်မှတ်ထားပါသည်။ အားနည်းချက်သည် စာရင်းသွင်းသူအခွင့်အရေးများအပါအဝင် စစ်မှန်သောလာရောက်သူတိုင်းသည် ၎င်းတို့၏အခွင့်အရေးများကို ဆိုက်စီမံခန့်ခွဲသူထံ တိုးမြှင့်ရန် သို့မဟုတ် wpCentral ထိန်းချုပ်မှုဘောင်သို့ ဝင်ရောက်ခွင့်ရရှိစေပါသည်။ ပြဿနာကို ဗားရှင်း 1.5.1 တွင် ဖြေရှင်းထားသည်။
- plugin ထဲမှာ ၆၅ဝဝ ခန့်ဖြင့် တပ်ဆင်ပေးခဲ့သည်။ ပြဿနာကို 65 တွင် 10 အဆင့်သတ်မှတ်ထားသည်။ အားနည်းချက်သည် အထောက်အထားမခိုင်လုံသောအသုံးပြုသူတစ်ဦးအား စီမံခန့်ခွဲသူအခွင့်အရေးများနှင့်အတူ အကောင့်တစ်ခုဖန်တီးနိုင်စေသည် (ပလပ်အင်သည် သင့်အား မှတ်ပုံတင်ခြင်းပုံစံများကိုဖန်တီးနိုင်စေပြီး အသုံးပြုသူသည် အပိုအကွက်တစ်ခုအား သုံးစွဲသူ၏အခန်းကဏ္ဍနှင့် တာဝန်ပေးခြင်း၊ စီမံခန့်ခွဲသူအဆင့်)။ ပြဿနာကို ဗားရှင်း 10 တွင် ဖြေရှင်းထားသည်။
ထို့အပြင်၎င်းကိုမှတ်ချက်ချနိုင်သည်။ Trojan ပလပ်အင်များနှင့် WordPress အပြင်အဆင်များကို ဖြန့်ဝေရန်အတွက် ကွန်ရက်များ။ တိုက်ခိုက်သူများသည် အဝေးထိန်းဆာဗာမှ ဒေါင်းလုဒ်အမိန့်များရရှိရန် အဝေးထိန်းဆာဗာမှ ဒေါင်းလုဒ်လုပ်ရန် Backdoor ကို ယခင်က ပေါင်းစပ်ထည့်သွင်းပြီး အတုယူထားသော လမ်းညွှန်ဆိုက်များပေါ်တွင် အခပေးပလပ်အင်များကို ခိုးကူးချထားပါသည်။ စဖွင့်ပြီးသည်နှင့်၊ အန္တရာယ်ရှိသော ကုဒ်ကို အန္တရာယ်ရှိသော သို့မဟုတ် လှည့်ဖြားသော ကြော်ငြာများ ထည့်သွင်းရန် (ဥပမာ၊ ဗိုင်းရပ်စ်ပိုး တပ်ဆင်ရန် သို့မဟုတ် သင့်ဘရောက်ဆာကို အပ်ဒိတ်လုပ်ရန် လိုအပ်ကြောင်း သတိပေးချက်များ) နှင့် အန္တရာယ်ရှိသော ပလပ်အင်များကို ဖြန့်ဝေသည့် ဆိုက်များကို မြှင့်တင်ရန်အတွက် ရှာဖွေရေးအင်ဂျင် ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ခြင်းအတွက် အသုံးပြုခဲ့သည်။ ပဏာမဒေတာအရ၊ ဤပလပ်အင်များကို အသုံးပြု၍ ဝဘ်ဆိုက် 20 ကျော်ကို အပေးအယူလုပ်ခဲ့သည်။ သေဆုံးသူများထဲတွင် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော မိုင်းတွင်းပလပ်ဖောင်းတစ်ခု၊ ကုန်သွယ်မှုကုမ္ပဏီတစ်ခု၊ ဘဏ်တစ်ခု၊ ကုမ္ပဏီကြီးများစွာ၊ အကြွေးဝယ်ကတ်များ၊ အိုင်တီကုမ္ပဏီများကို အသုံးပြု၍ ငွေပေးချေမှုများအတွက် ဖြေရှင်းချက်ဖော်ဆောင်သူ စသည်တို့ဖြစ်သည်။
source: opennet.ru