Technology

WordPress Anti-Spam Plugin Vulnerability Affects Up To 60,000+ Sites

60,000 से अधिक इंस्टॉलेशन के साथ एक वर्डप्रेस एंटी-स्पैम प्लगइन ने एक PHP ऑब्जेक्ट इंजेक्शन भेद्यता को पैच किया जो इनपुट के अनुचित स्वच्छताकरण से उत्पन्न हुआ, बाद में बेस64 एन्कोडेड उपयोगकर्ता इनपुट की अनुमति देता है।

अप्रमाणित PHP वस्तु इंजेक्शन

लोकप्रिय स्टॉप स्पैमर्स सिक्योरिटी में भेद्यता की खोज की गई थी ब्लॉक स्पैम उपयोगकर्ता, टिप्पणियाँ, वर्डप्रेस प्लगइन बनाता है।

प्लगइन का उद्देश्य टिप्पणियों, प्रपत्रों और साइन-अप पंजीकरणों में स्पैम को रोकना है। यह स्पैम बॉट्स को रोक सकता है और उपयोगकर्ताओं को ब्लॉक करने के लिए आईपी एड्रेस इनपुट करने की क्षमता रखता है।

यह किसी भी वर्डप्रेस प्लगइन या फॉर्म के लिए एक आवश्यक अभ्यास है जो उपयोगकर्ता इनपुट को केवल विशिष्ट इनपुट, जैसे पाठ, चित्र, ईमेल पते, जो भी इनपुट अपेक्षित है, की अनुमति देता है।

अनपेक्षित इनपुट को फ़िल्टर किया जाना चाहिए। वह फ़िल्टरिंग प्रक्रिया जो अवांछित इनपुट को बाहर रखती है, कहलाती है सफ़ाई.

उदाहरण के लिए, एक संपर्क फ़ॉर्म में एक फ़ंक्शन होना चाहिए जो सबमिट की गई चीज़ों का निरीक्षण करता है और जो टेक्स्ट नहीं है उसे ब्लॉक (स्वच्छता) करता है।

एंटी-स्पैम प्लगइन में खोजी गई भेद्यता एन्कोडेड इनपुट (बेस 64 एन्कोडेड) की अनुमति देती है जो तब एक प्रकार की भेद्यता को ट्रिगर कर सकती है जिसे PHP ऑब्जेक्ट इंजेक्शन भेद्यता कहा जाता है।

भेद्यता का वर्णन प्रकाशित WPScan वेबसाइट पर समस्या का वर्णन इस प्रकार है:

“जब कैप्चा को दूसरी चुनौती के रूप में उपयोग किया जाता है, तो प्लगइन बेस 64 एन्कोडेड उपयोगकर्ता इनपुट को अनसीरियलाइज़ () PHP फ़ंक्शन में पास करता है, जो ब्लॉग पर स्थापित प्लगइन में एक उपयुक्त गैजेट श्रृंखला होने पर PHP ऑब्जेक्ट इंजेक्शन का कारण बन सकता है …”

भेद्यता का वर्गीकरण है असुरक्षित अक्रमांकन.

गैर-लाभकारी ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (OWASP) इस प्रकार की भेद्यता के संभावित प्रभाव को गंभीर बताता है, जो इस भेद्यता के लिए मामला विशिष्ट हो भी सकता है और नहीं भी।

विवरण ओडब्ल्यूएएसपी पर:

“डीरियलाइज़ेशन दोषों के प्रभाव को कम करके नहीं आंका जा सकता है। इन खामियों के कारण रिमोट कोड एक्जीक्यूशन अटैक हो सकता है, जो सबसे गंभीर हमलों में से एक है।
व्यावसायिक प्रभाव एप्लिकेशन और डेटा की सुरक्षा आवश्यकताओं पर निर्भर करता है।”

लेकिन OWASP यह भी नोट करता है कि इस तरह की भेद्यता का फायदा उठाना मुश्किल होता है:

“डिसेरिएलाइज़ेशन का शोषण कुछ हद तक मुश्किल है, क्योंकि शेल्फ शोषण शायद ही कभी बिना बदलाव के काम करता है या अंतर्निहित शोषण कोड में बदलाव करता है।”

स्टॉप स्पैमर्स सिक्योरिटी वर्डप्रेस प्लगइन में भेद्यता संस्करण 2022.6 में तय की गई थी

आधिकारिक स्पैमर सुरक्षा चैंज को बंद करें (विभिन्न अद्यतनों की तिथियों के साथ एक विवरण) फिक्स को सुरक्षा के लिए वृद्धि के रूप में नोट करता है।

स्टॉप स्पैम सिक्योरिटी प्लगइन के उपयोगकर्ताओं को हैकर को प्लगइन का शोषण करने से रोकने के लिए नवीनतम संस्करण में अपडेट करने पर विचार करना चाहिए।

संयुक्त राज्य सरकार के राष्ट्रीय भेद्यता डेटाबेस पर आधिकारिक अधिसूचना पढ़ें:

सीवीई-2022-4120 विवरण

इस भेद्यता से संबंधित विवरणों का WPScan प्रकाशन पढ़ें:

स्पैमर्स सुरक्षा बंद करो < 2022.6 - अप्रमाणित पीएचपी वस्तु इंजेक्शन

शटरस्टॉक / लुइस मोलिनेरो द्वारा प्रदर्शित छवि

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.