ننجا فارمز ورڈپریس ایڈ آن میں ایک اہم کمزوری (سی وی ای کو ابھی تک تفویض نہیں کیا گیا ہے) کی نشاندہی کی گئی ہے، جس میں ایک ملین سے زیادہ فعال تنصیبات ہیں، جو ایک غیر مجاز وزیٹر کو سائٹ پر مکمل کنٹرول حاصل کرنے کی اجازت دیتی ہے۔ مسئلہ 3.0.34.2، 3.1.10، 3.2.28، 3.3.21.4، 3.4.34.2، 3.5.8.4، اور 3.6.11 ریلیز میں حل کیا گیا تھا۔ واضح رہے کہ خطرے کو پہلے ہی حملے کرنے اور فوری طور پر اس مسئلے کو روکنے کے لیے استعمال کیا جا رہا ہے، ورڈپریس پلیٹ فارم کے ڈویلپرز نے صارف کی سائٹوں پر اپ ڈیٹ کی زبردستی خودکار انسٹالیشن شروع کی۔
کمزوری مرج ٹیگز کی فعالیت کے نفاذ میں خرابی کی وجہ سے ہوتی ہے، جو غیر تصدیق شدہ صارفین کو مختلف ننجا فارم کلاسز (is_callable() فنکشن سے کچھ جامد طریقوں کو کال کرنے کی اجازت دیتی ہے تاکہ یہ چیک کیا جا سکے کہ آیا مرج سے گزرے گئے ڈیٹا میں طریقوں کا ذکر کیا گیا تھا۔ ٹیگز)۔ دوسری چیزوں کے علاوہ، کسی ایسے طریقہ کو کال کرنا ممکن تھا جو صارف کے ذریعے بھیجے گئے مواد کو ڈی سیریلائز کرتا ہے۔ خصوصی طور پر ڈیزائن کردہ سیریلائزڈ ڈیٹا کی ترسیل کے ذریعے، حملہ آور اپنی اشیاء کو تبدیل کر سکتا ہے اور سرور پر پی ایچ پی کوڈ کا نفاذ حاصل کر سکتا ہے یا سائٹ ڈیٹا کے ساتھ ڈائرکٹری میں من مانی فائلوں کو حذف کر سکتا ہے۔
ماخذ: opennet.ru