लाइटस्पीड कैश वर्डप्रेस प्लगइन में एक और भेद्यता की खोज की गई – अनुमतियों में एक असत्यापित वृद्धि जिसके कारण साइट का पूर्ण अधिग्रहण हो सकता है। दुर्भाग्य से, प्लगइन के नवीनतम संस्करण को अपडेट करना समस्या को हल करने के लिए पर्याप्त नहीं हो सकता है।
लाइटस्पीड कैश प्लगइन
लाइटस्पीड कैश प्लगइन एक वेबसाइट प्रदर्शन अनुकूलन प्लगइन है जिसके 6 मिलियन से अधिक इंस्टॉल हैं। एक कैशिंग प्लगइन एक वेब पेज बनाने के लिए उपयोग किए गए डेटा की एक स्थिर प्रतिलिपि संग्रहीत करता है ताकि सर्वर को हर बार ब्राउज़र द्वारा वेब पेज का अनुरोध करने पर डेटाबेस से सटीक समान पेज तत्वों को बार-बार न लाना पड़े।
पेज को “कैश” में संग्रहीत करने से सर्वर लोड कम हो जाता है और वेब पेज को ब्राउज़र या स्कैनर में स्थानांतरित करने में लगने वाला समय तेज हो जाता है।
लाइटस्पीड कैश अन्य पृष्ठ गति अनुकूलन भी करता है जैसे सीएसएस और जावास्क्रिप्ट फ़ाइलों का संपीड़न (न्यूनीकरण), पेज रेंडरिंग के लिए सबसे महत्वपूर्ण सीएसएस को HTML कोड में ही डालता है (अंतर्निहित सीएसएस) और अन्य अनुकूलन जो एक साथ मिलकर बनाते हैं तेजी से साइट.
विशेषाधिकारों में असत्यापित वृद्धि
अनधिकृत विशेषाधिकार वृद्धि एक प्रकार की भेद्यता है जो एक हैकर को उपयोगकर्ता के रूप में लॉग इन किए बिना किसी वेबसाइट तक पहुंच विशेषाधिकार प्राप्त करने की अनुमति देती है। इससे प्रमाणित भेद्यता की तुलना में किसी वेबसाइट को हैक करना आसान हो जाता है, जिसके लिए हैकर को हमले को अंजाम देने से पहले एक निश्चित स्तर के विशेषाधिकार प्राप्त करने की आवश्यकता होती है।
अप्रमाणित अनुमतियों का बढ़ना आमतौर पर प्लगइन (या थीम) में किसी खामी के कारण होता है और इस मामले में यह डेटा लीक है।
पैचस्टैक, सुरक्षा कंपनी जिसने भेद्यता की खोज की, लिखती है कि भेद्यता का फायदा केवल दो स्थितियों में ही उठाया जा सकता है:
“डिबग लॉग सुविधा लाइटस्पीड कैश प्लगइन में सक्रिय है।
डिबग लॉग सुविधा को पहले एक बार सक्षम किया गया था (वर्तमान में निष्क्रिय) और फ़ाइल /wp-content/debug.log को हटाया या हटाया नहीं गया था।”
पैचस्टैक द्वारा खोजा गया
इस भेद्यता की खोज वर्डप्रेस सुरक्षा कंपनी पैचस्टैक के शोधकर्ताओं द्वारा की गई थी, जो केवल $5 प्रति माह पर निःशुल्क भेद्यता चेतावनी सेवा और उन्नत सुरक्षा प्रदान करती है।
पैचस्टैक के संस्थापक ओलिवर सील ने सर्च इंजन जर्नल को बताया कि इस भेद्यता का पता कैसे चला और चेतावनी दी कि प्लगइन को अपडेट करना पर्याप्त नहीं है, उपयोगकर्ता को अभी भी अपने डिबग लॉग को मैन्युअल रूप से साफ़ करने की आवश्यकता है।
उन्होंने भेद्यता के बारे में निम्नलिखित विवरण साझा किए:
“यह हमारे आंतरिक शोधकर्ता द्वारा पाया गया था जब हमने कुछ सप्ताह पहले भेद्यता को संसाधित किया था।
इस नई भेद्यता को ध्यान में रखने वाली एक महत्वपूर्ण बात यह है कि जब इसे पैच किया जाता है, तब भी उपयोगकर्ताओं को अपने डिबग लॉग को मैन्युअल रूप से साफ़ करने की आवश्यकता होती है। यह एक अच्छा अनुस्मारक भी है कि उत्पादन में डिबग मोड को सक्षम न रखें।”
कार्रवाई का अनुशंसित तरीका
पैचस्टैक अनुशंसा करता है कि लाइटस्पीड कैश वर्डप्रेस प्लगइन के उपयोगकर्ता कम से कम संस्करण 6.5.0.1 पर अपडेट करें।
पैचस्टैक पर सलाह पढ़ें:
लाइटस्पीड कैश प्लगइन में एक महत्वपूर्ण खाता अधिग्रहण भेद्यता को ठीक कर दिया गया है
शटरस्टॉक/तेगुह मुजियोनो द्वारा प्रदर्शित छवि
Thank you for sharing this insightful post! Your writing is clear, informative, and engaging. I appreciate how you’ve broken down complex concepts into easily digestible parts. It’s evident that you have a deep understanding of the topic, and your tips are practical and actionable. I particularly liked the way you addressed [specific point from the article], as it resonated with my own experiences. This kind of content is invaluable for readers looking to expand their knowledge and apply new strategies effectively. Looking forward to reading more from you. Keep up the excellent work!
Thank you for sharing this insightful post! Your writing is clear, informative, and engaging. I appreciate how you’ve broken down complex concepts into easily digestible parts. It’s evident that you have a deep understanding of the topic, and your tips are practical and actionable. I particularly liked the way you addressed [specific point from the article], as it resonated with my own experiences. This kind of content is invaluable for readers looking to expand their knowledge and apply new strategies effectively. Looking forward to reading more from you. Keep up the excellent work!
Thank you for sharing this insightful post! Your writing is clear, informative, and engaging. I appreciate how you’ve broken down complex concepts into easily digestible parts. It’s evident that you have a deep understanding of the topic, and your tips are practical and actionable. I particularly liked the way you addressed [specific point from the article], as it resonated with my own experiences. This kind of content is invaluable for readers looking to expand their knowledge and apply new strategies effectively. Looking forward to reading more from you. Keep up the excellent work!
Thank you for sharing this insightful post! Your writing is clear, informative, and engaging. I appreciate how you’ve broken down complex concepts into easily digestible parts. It’s evident that you have a deep understanding of the topic, and your tips are practical and actionable. I particularly liked the way you addressed [specific point from the article], as it resonated with my own experiences. This kind of content is invaluable for readers looking to expand their knowledge and apply new strategies effectively. Looking forward to reading more from you. Keep up the excellent work!
Usually I do not read article on blogs however I would like to say that this writeup very compelled me to take a look at and do it Your writing style has been amazed me Thank you very nice article