WooCommerce प्लगइन के प्रकाशक Automattic ने WooCommerce भुगतान प्लगइन में एक महत्वपूर्ण भेद्यता की खोज और पैच की घोषणा की।
भेद्यता एक हमलावर को प्रशासक स्तर की साख हासिल करने और एक पूर्ण साइट-अधिग्रहण करने की अनुमति देती है।
व्यवस्थापक वर्डप्रेस में सर्वोच्च अनुमति उपयोगकर्ता की भूमिका है, जो अधिक व्यवस्थापक-स्तर के खाते बनाने की क्षमता के साथ-साथ पूरी वेबसाइट को हटाने की क्षमता के साथ वर्डप्रेस साइट तक पूर्ण पहुंच प्रदान करता है।
इस विशेष भेद्यता को बड़ी चिंता का कारण यह है कि यह अप्रमाणित हमलावरों के लिए उपलब्ध है, जिसका अर्थ है कि उन्हें साइट में हेरफेर करने और व्यवस्थापक-स्तर की उपयोगकर्ता भूमिका प्राप्त करने के लिए पहले दूसरी अनुमति प्राप्त करने की आवश्यकता नहीं है।
वर्डप्रेस सुरक्षा प्लगइन निर्माता Wordfence ने इस भेद्यता का वर्णन किया:
“अद्यतन की समीक्षा करने के बाद हमने निर्धारित किया कि इसने कमजोर कोड को हटा दिया है जो एक अप्रमाणित हमलावर को एक प्रशासक का प्रतिरूपण करने और बिना किसी उपयोगकर्ता सहभागिता या सामाजिक इंजीनियरिंग की आवश्यकता के पूरी तरह से एक वेबसाइट पर कब्जा करने की अनुमति दे सकता है।”
सुकुरी वेबसाइट सुरक्षा मंच चेतावनी प्रकाशित की उस भेद्यता के बारे में जो आगे के विवरण में जाती है।
सुकुरी बताते हैं कि भेद्यता निम्न फ़ाइल में प्रतीत होती है:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
उन्होंने यह भी बताया कि Automattic द्वारा लागू किया गया “फिक्स” फ़ाइल को हटाना है।
देखे गए रस:
“प्लगइन परिवर्तन इतिहास के अनुसार ऐसा प्रतीत होता है कि फ़ाइल और इसकी कार्यक्षमता को पूरी तरह से हटा दिया गया था …”
WooCommerce वेबसाइट ने एक सलाह प्रकाशित की जो बताती है कि उन्होंने ऐसा क्यों किया प्रभावित फ़ाइल को पूरी तरह से निकालने के लिए चुना गया:
“क्योंकि इस भेद्यता में भी WooPay को प्रभावित करने की क्षमता थी, बीटा परीक्षण में एक नई भुगतान चेकआउट सेवा, हमने बीटा प्रोग्राम को अस्थायी रूप से अक्षम कर दिया है।”
WooCommerce भुगतान प्लगइन भेद्यता की खोज 22 मार्च, 2023 को एक तीसरे पक्ष के सुरक्षा शोधकर्ता द्वारा की गई, जिसने Automattic को सूचित किया।
ऑटोमैटिक ने तेजी से एक पैच जारी किया।
भेद्यता का विवरण 6 अप्रैल, 2023 को जारी किया जाएगा।
इसका मतलब है कि कोई भी साइट जिसने इस प्लगइन को अपडेट नहीं किया है, वह असुरक्षित हो जाएगी।
WooCommerce Payments प्लगइन का कौन सा संस्करण कमजोर है
WooCommerce ने प्लगइन को संस्करण 5.6.2 में अपडेट किया। इसे वेबसाइट का सबसे अद्यतित और गैर-संवेदनशील संस्करण माना जाता है।
Automattic ने जबरन अपडेट जारी किया है, हालांकि यह संभव है कि कुछ साइटों को यह प्राप्त न हुआ हो।
यह अनुशंसा की जाती है कि प्रभावित प्लगइन के सभी उपयोगकर्ता जाँच लें कि उनकी स्थापना WooCommerce भुगतान प्लगइन 5.6.2 संस्करण में अपडेट की गई है
भेद्यता को ठीक करने के बाद, WooCommerce निम्नलिखित कार्रवाई करने की सिफारिश करता है:
“एक बार जब आप एक सुरक्षित संस्करण चला रहे हों, तो हम आपकी साइट पर किसी भी अप्रत्याशित व्यवस्थापक उपयोगकर्ता या पोस्ट की जाँच करने की सलाह देते हैं। अगर आपको अप्रत्याशित गतिविधि का कोई सबूत मिलता है, तो हम सुझाव देते हैं:
आपकी साइट पर किसी भी व्यवस्थापक उपयोगकर्ताओं के लिए पासवर्ड अपडेट करना, खासकर यदि वे एक ही पासवर्ड को कई वेबसाइटों पर पुन: उपयोग करते हैं।
आपकी साइट पर उपयोग की जाने वाली किसी भी भुगतान गेटवे और WooCommerce API कुंजियों को घुमाना। अपनी WooCommerce API कुंजियों को अपडेट करने का तरीका यहां बताया गया है। अन्य चाबियों को रीसेट करने के लिए, कृपया उन विशिष्ट प्लगइन्स या सेवाओं के लिए दस्तावेज़ देखें।”
WooCommerce भेद्यता व्याख्याता पढ़ें:
WooCommerce भुगतानों में गंभीर भेद्यता पैच – आपको क्या जानना चाहिए