Technology

WordPress WooCommerce Payments Plugin Vulnerability

WooCommerce प्लगइन के प्रकाशक Automattic ने WooCommerce भुगतान प्लगइन में एक महत्वपूर्ण भेद्यता की खोज और पैच की घोषणा की।

भेद्यता एक हमलावर को प्रशासक स्तर की साख हासिल करने और एक पूर्ण साइट-अधिग्रहण करने की अनुमति देती है।

व्यवस्थापक वर्डप्रेस में सर्वोच्च अनुमति उपयोगकर्ता की भूमिका है, जो अधिक व्यवस्थापक-स्तर के खाते बनाने की क्षमता के साथ-साथ पूरी वेबसाइट को हटाने की क्षमता के साथ वर्डप्रेस साइट तक पूर्ण पहुंच प्रदान करता है।

इस विशेष भेद्यता को बड़ी चिंता का कारण यह है कि यह अप्रमाणित हमलावरों के लिए उपलब्ध है, जिसका अर्थ है कि उन्हें साइट में हेरफेर करने और व्यवस्थापक-स्तर की उपयोगकर्ता भूमिका प्राप्त करने के लिए पहले दूसरी अनुमति प्राप्त करने की आवश्यकता नहीं है।

वर्डप्रेस सुरक्षा प्लगइन निर्माता Wordfence ने इस भेद्यता का वर्णन किया:

“अद्यतन की समीक्षा करने के बाद हमने निर्धारित किया कि इसने कमजोर कोड को हटा दिया है जो एक अप्रमाणित हमलावर को एक प्रशासक का प्रतिरूपण करने और बिना किसी उपयोगकर्ता सहभागिता या सामाजिक इंजीनियरिंग की आवश्यकता के पूरी तरह से एक वेबसाइट पर कब्जा करने की अनुमति दे सकता है।”

सुकुरी वेबसाइट सुरक्षा मंच चेतावनी प्रकाशित की उस भेद्यता के बारे में जो आगे के विवरण में जाती है।

सुकुरी बताते हैं कि भेद्यता निम्न फ़ाइल में प्रतीत होती है:

/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php

उन्होंने यह भी बताया कि Automattic द्वारा लागू किया गया “फिक्स” फ़ाइल को हटाना है।

देखे गए रस:

“प्लगइन परिवर्तन इतिहास के अनुसार ऐसा प्रतीत होता है कि फ़ाइल और इसकी कार्यक्षमता को पूरी तरह से हटा दिया गया था …”

WooCommerce वेबसाइट ने एक सलाह प्रकाशित की जो बताती है कि उन्होंने ऐसा क्यों किया प्रभावित फ़ाइल को पूरी तरह से निकालने के लिए चुना गया:

“क्योंकि इस भेद्यता में भी WooPay को प्रभावित करने की क्षमता थी, बीटा परीक्षण में एक नई भुगतान चेकआउट सेवा, हमने बीटा प्रोग्राम को अस्थायी रूप से अक्षम कर दिया है।”

WooCommerce भुगतान प्लगइन भेद्यता की खोज 22 मार्च, 2023 को एक तीसरे पक्ष के सुरक्षा शोधकर्ता द्वारा की गई, जिसने Automattic को सूचित किया।

ऑटोमैटिक ने तेजी से एक पैच जारी किया।

भेद्यता का विवरण 6 अप्रैल, 2023 को जारी किया जाएगा।

इसका मतलब है कि कोई भी साइट जिसने इस प्लगइन को अपडेट नहीं किया है, वह असुरक्षित हो जाएगी।

WooCommerce Payments प्लगइन का कौन सा संस्करण कमजोर है

WooCommerce ने प्लगइन को संस्करण 5.6.2 में अपडेट किया। इसे वेबसाइट का सबसे अद्यतित और गैर-संवेदनशील संस्करण माना जाता है।

Automattic ने जबरन अपडेट जारी किया है, हालांकि यह संभव है कि कुछ साइटों को यह प्राप्त न हुआ हो।

यह अनुशंसा की जाती है कि प्रभावित प्लगइन के सभी उपयोगकर्ता जाँच लें कि उनकी स्थापना WooCommerce भुगतान प्लगइन 5.6.2 संस्करण में अपडेट की गई है

भेद्यता को ठीक करने के बाद, WooCommerce निम्नलिखित कार्रवाई करने की सिफारिश करता है:

“एक बार जब आप एक सुरक्षित संस्करण चला रहे हों, तो हम आपकी साइट पर किसी भी अप्रत्याशित व्यवस्थापक उपयोगकर्ता या पोस्ट की जाँच करने की सलाह देते हैं। अगर आपको अप्रत्याशित गतिविधि का कोई सबूत मिलता है, तो हम सुझाव देते हैं:

आपकी साइट पर किसी भी व्यवस्थापक उपयोगकर्ताओं के लिए पासवर्ड अपडेट करना, खासकर यदि वे एक ही पासवर्ड को कई वेबसाइटों पर पुन: उपयोग करते हैं।

आपकी साइट पर उपयोग की जाने वाली किसी भी भुगतान गेटवे और WooCommerce API कुंजियों को घुमाना। अपनी WooCommerce API कुंजियों को अपडेट करने का तरीका यहां बताया गया है। अन्य चाबियों को रीसेट करने के लिए, कृपया उन विशिष्ट प्लगइन्स या सेवाओं के लिए दस्तावेज़ देखें।”

WooCommerce भेद्यता व्याख्याता पढ़ें:

WooCommerce भुगतानों में गंभीर भेद्यता पैच – आपको क्या जानना चाहिए

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock