60,000 से अधिक इंस्टॉलेशन के साथ एक वर्डप्रेस एंटी-स्पैम प्लगइन ने एक PHP ऑब्जेक्ट इंजेक्शन भेद्यता को पैच किया जो इनपुट के अनुचित स्वच्छताकरण से उत्पन्न हुआ, बाद में बेस64 एन्कोडेड उपयोगकर्ता इनपुट की अनुमति देता है।
अप्रमाणित PHP वस्तु इंजेक्शन
लोकप्रिय स्टॉप स्पैमर्स सिक्योरिटी में भेद्यता की खोज की गई थी ब्लॉक स्पैम उपयोगकर्ता, टिप्पणियाँ, वर्डप्रेस प्लगइन बनाता है।
प्लगइन का उद्देश्य टिप्पणियों, प्रपत्रों और साइन-अप पंजीकरणों में स्पैम को रोकना है। यह स्पैम बॉट्स को रोक सकता है और उपयोगकर्ताओं को ब्लॉक करने के लिए आईपी एड्रेस इनपुट करने की क्षमता रखता है।
यह किसी भी वर्डप्रेस प्लगइन या फॉर्म के लिए एक आवश्यक अभ्यास है जो उपयोगकर्ता इनपुट को केवल विशिष्ट इनपुट, जैसे पाठ, चित्र, ईमेल पते, जो भी इनपुट अपेक्षित है, की अनुमति देता है।
अनपेक्षित इनपुट को फ़िल्टर किया जाना चाहिए। वह फ़िल्टरिंग प्रक्रिया जो अवांछित इनपुट को बाहर रखती है, कहलाती है सफ़ाई.
उदाहरण के लिए, एक संपर्क फ़ॉर्म में एक फ़ंक्शन होना चाहिए जो सबमिट की गई चीज़ों का निरीक्षण करता है और जो टेक्स्ट नहीं है उसे ब्लॉक (स्वच्छता) करता है।
एंटी-स्पैम प्लगइन में खोजी गई भेद्यता एन्कोडेड इनपुट (बेस 64 एन्कोडेड) की अनुमति देती है जो तब एक प्रकार की भेद्यता को ट्रिगर कर सकती है जिसे PHP ऑब्जेक्ट इंजेक्शन भेद्यता कहा जाता है।
भेद्यता का वर्णन प्रकाशित WPScan वेबसाइट पर समस्या का वर्णन इस प्रकार है:
“जब कैप्चा को दूसरी चुनौती के रूप में उपयोग किया जाता है, तो प्लगइन बेस 64 एन्कोडेड उपयोगकर्ता इनपुट को अनसीरियलाइज़ () PHP फ़ंक्शन में पास करता है, जो ब्लॉग पर स्थापित प्लगइन में एक उपयुक्त गैजेट श्रृंखला होने पर PHP ऑब्जेक्ट इंजेक्शन का कारण बन सकता है …”
भेद्यता का वर्गीकरण है असुरक्षित अक्रमांकन.
गैर-लाभकारी ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (OWASP) इस प्रकार की भेद्यता के संभावित प्रभाव को गंभीर बताता है, जो इस भेद्यता के लिए मामला विशिष्ट हो भी सकता है और नहीं भी।
विवरण ओडब्ल्यूएएसपी पर:
“डीरियलाइज़ेशन दोषों के प्रभाव को कम करके नहीं आंका जा सकता है। इन खामियों के कारण रिमोट कोड एक्जीक्यूशन अटैक हो सकता है, जो सबसे गंभीर हमलों में से एक है।
व्यावसायिक प्रभाव एप्लिकेशन और डेटा की सुरक्षा आवश्यकताओं पर निर्भर करता है।”
लेकिन OWASP यह भी नोट करता है कि इस तरह की भेद्यता का फायदा उठाना मुश्किल होता है:
“डिसेरिएलाइज़ेशन का शोषण कुछ हद तक मुश्किल है, क्योंकि शेल्फ शोषण शायद ही कभी बिना बदलाव के काम करता है या अंतर्निहित शोषण कोड में बदलाव करता है।”
स्टॉप स्पैमर्स सिक्योरिटी वर्डप्रेस प्लगइन में भेद्यता संस्करण 2022.6 में तय की गई थी
आधिकारिक स्पैमर सुरक्षा चैंज को बंद करें (विभिन्न अद्यतनों की तिथियों के साथ एक विवरण) फिक्स को सुरक्षा के लिए वृद्धि के रूप में नोट करता है।
स्टॉप स्पैम सिक्योरिटी प्लगइन के उपयोगकर्ताओं को हैकर को प्लगइन का शोषण करने से रोकने के लिए नवीनतम संस्करण में अपडेट करने पर विचार करना चाहिए।
संयुक्त राज्य सरकार के राष्ट्रीय भेद्यता डेटाबेस पर आधिकारिक अधिसूचना पढ़ें:
इस भेद्यता से संबंधित विवरणों का WPScan प्रकाशन पढ़ें:
स्पैमर्स सुरक्षा बंद करो < 2022.6 - अप्रमाणित पीएचपी वस्तु इंजेक्शन
शटरस्टॉक / लुइस मोलिनेरो द्वारा प्रदर्शित छवि