Wordfence மற்றும் WebARX இன் பாதுகாப்பு ஆராய்ச்சியாளர்கள் WordPress இணைய உள்ளடக்க மேலாண்மை அமைப்பிற்கான ஐந்து செருகுநிரல்களில் பல ஆபத்தான பாதிப்புகளை கண்டறிந்துள்ளனர், மொத்தம் ஒரு மில்லியனுக்கும் அதிகமான நிறுவல்கள் உள்ளன.
- செருகுநிரலில் , இது 700 ஆயிரத்துக்கும் மேற்பட்ட நிறுவல்களைக் கொண்டுள்ளது. சிக்கலின் தீவிரத்தன்மை 9 இல் 10 (CVSS) என மதிப்பிடப்பட்டுள்ளது. தளத்தின் எந்தப் பக்கத்தையும் நீக்கவோ அல்லது மறைக்கவோ (நிலையை வெளியிடாத வரைவுக்கு மாற்றவோ) சந்தாதாரர் உரிமைகளைக் கொண்ட அங்கீகரிக்கப்பட்ட பயனரை, பக்கங்களில் தங்கள் சொந்த உள்ளடக்கத்தை மாற்றவும் பாதிப்பு அனுமதிக்கிறது.
பாதிப்பு வெளியீடு 1.8.3 இல். - செருகுநிரலில் , 200 ஆயிரத்துக்கும் மேற்பட்ட நிறுவல்கள் (தளங்களில் உண்மையான தாக்குதல்கள் பதிவு செய்யப்பட்டன, அதன் தொடக்கம் மற்றும் பாதிப்பு பற்றிய தரவுகளின் தோற்றத்திற்குப் பிறகு, நிறுவல்களின் எண்ணிக்கை ஏற்கனவே 100 ஆயிரமாக குறைந்துள்ளது). தளத்தின் தரவுத்தளத்தின் உள்ளடக்கங்களை அழிக்கவும், தரவுத்தளத்தை புதிய நிறுவல் நிலைக்கு மீட்டமைக்கவும், இந்த பாதிப்பு அங்கீகரிக்கப்படாத பார்வையாளரை அனுமதிக்கிறது. தரவுத்தளத்தில் நிர்வாகி என்ற பயனர் இருந்தால், தளத்தின் மீது முழுக் கட்டுப்பாட்டைப் பெறவும் பாதிப்பு உங்களை அனுமதிக்கிறது. /wp-admin/admin-ajax.php ஸ்கிரிப்ட் வழியாக சலுகை பெற்ற கட்டளைகளை வழங்க முயற்சிக்கும் பயனர் அங்கீகரிக்கத் தவறியதால் பாதிப்பு ஏற்படுகிறது. பதிப்பு 1.6.2 இல் சிக்கல் சரி செய்யப்பட்டது.
- செருகுநிரலில் , 44 ஆயிரம் தளங்களில் பயன்படுத்தப்படுகிறது. சிக்கலுக்கு 9.8ல் 10 என்ற தீவிர நிலை ஒதுக்கப்பட்டுள்ளது. REST-API மூலம் ஒரு சிறப்பு கோரிக்கையை அனுப்புவதன் மூலம், ஒரு அங்கீகரிக்கப்படாத பயனரின் PHP குறியீட்டை சர்வரில் இயக்கவும் மற்றும் தள நிர்வாகி கணக்கை மாற்றவும் பாதிப்பு அனுமதிக்கப்படுகிறது.
பாதிப்பை சுரண்டுவதற்கான வழக்குகள் ஏற்கனவே பிணையத்தில் பதிவு செய்யப்பட்டுள்ளன, ஆனால் திருத்தத்துடன் கூடிய புதுப்பிப்பு இன்னும் கிடைக்கவில்லை. பயனர்கள் இந்தச் செருகுநிரலை விரைவில் அகற்றுமாறு அறிவுறுத்தப்படுகிறார்கள். - செருகுநிரலில் 60 ஆயிரம் நிறுவல்கள். சிக்கலுக்கு 8.8ல் 10 என்ற தீவிர நிலை ஒதுக்கப்பட்டுள்ளது. சந்தாதாரர் உரிமைகள் உள்ளவர்கள் உட்பட எந்தவொரு அங்கீகரிக்கப்பட்ட பார்வையாளரையும் தள நிர்வாகியிடம் தங்கள் சிறப்புரிமைகளை அதிகரிக்க அல்லது wpCentral கட்டுப்பாட்டுப் பலகத்திற்கான அணுகலைப் பெற இந்த பாதிப்பு அனுமதிக்கிறது. பதிப்பு 1.5.1 இல் சிக்கல் சரி செய்யப்பட்டது.
- செருகுநிரலில் , சுமார் 65 ஆயிரம் நிறுவல்களுடன். சிக்கலுக்கு 10ல் 10 என்ற தீவிர நிலை ஒதுக்கப்பட்டுள்ளது. பாதிப்பானது அங்கீகரிக்கப்படாத பயனரை நிர்வாகி உரிமைகளுடன் கணக்கை உருவாக்க அனுமதிக்கிறது (சொருகி பதிவு படிவங்களை உருவாக்க உங்களை அனுமதிக்கிறது மற்றும் பயனர் பயனரின் பங்கைக் கொண்டு கூடுதல் புலத்தை அனுப்பலாம். இது நிர்வாகி நிலை). பதிப்பு 3.1.1 இல் சிக்கல் சரி செய்யப்பட்டது.
கூடுதலாக, அதை கவனிக்க முடியும் ட்ரோஜன் செருகுநிரல்கள் மற்றும் வேர்ட்பிரஸ் தீம்களை விநியோகிப்பதற்கான நெட்வொர்க்குகள். தாக்குதல் நடத்துபவர்கள் கட்டணச் செருகுநிரல்களின் திருட்டு நகல்களை கற்பனையான அடைவுத் தளங்களில் வைத்தனர், தொலைநிலை அணுகலைப் பெறுவதற்கும் கட்டுப்பாட்டுச் சேவையகத்திலிருந்து கட்டளைகளைப் பதிவிறக்குவதற்கும் முன்பு ஒரு பின்கதவை அவற்றில் ஒருங்கிணைத்திருந்தனர். செயல்படுத்தப்பட்டதும், தீங்கிழைக்கும் குறியீடு தீங்கிழைக்கும் அல்லது ஏமாற்றும் விளம்பரங்களைச் செருகுவதற்குப் பயன்படுத்தப்பட்டது (உதாரணமாக, வைரஸ் தடுப்பு அல்லது உங்கள் உலாவியைப் புதுப்பிக்க வேண்டியதன் அவசியத்தைப் பற்றிய எச்சரிக்கைகள்), அத்துடன் தீங்கிழைக்கும் செருகுநிரல்களை விநியோகிக்கும் தளங்களை விளம்பரப்படுத்த தேடுபொறி மேம்படுத்துதலுக்கும் பயன்படுத்தப்பட்டது. ஆரம்ப தரவுகளின்படி, இந்த செருகுநிரல்களைப் பயன்படுத்தி 20 ஆயிரத்துக்கும் மேற்பட்ட தளங்கள் சமரசம் செய்யப்பட்டன. பாதிக்கப்பட்டவர்களில் ஒரு பரவலாக்கப்பட்ட சுரங்க தளம், ஒரு வர்த்தக நிறுவனம், ஒரு வங்கி, பல பெரிய நிறுவனங்கள், கிரெடிட் கார்டுகளைப் பயன்படுத்தி பணம் செலுத்துவதற்கான தீர்வுகளை உருவாக்குபவர், ஐடி நிறுவனங்கள் போன்றவை.
ஆதாரம்: opennet.ru