दुनिया के सबसे लोकप्रिय वर्डप्रेस थीमों में से एक ने सप्ताहांत में चुपचाप एक सुरक्षा भेद्यता को ठीक कर दिया है, सुरक्षा शोधकर्ताओं का कहना है कि यह संग्रहीत XSS भेद्यता के लिए एक पैच प्रतीत होता है।
आधिकारिक एस्ट्रा का चेंजलॉग सुरक्षा रिलीज़ के लिए यह स्पष्टीकरण प्रस्तुत किया गया:
“उन्नत सुरक्षा: आपकी साइट को और अधिक सुरक्षित करने के लिए हमारा कोड आधार मजबूत किया गया है।”
उनका चेंजलॉग, जो प्रत्येक अपडेट में शामिल कोड में परिवर्तन रिकॉर्ड करता है, भेद्यता क्या थी या इसकी गंभीरता के बारे में कोई जानकारी नहीं देता है। इसलिए, थीम उपयोगकर्ता यह निर्णय नहीं ले सकते हैं कि उन्हें अपनी थीम को जल्द से जल्द अपडेट करना है या अपडेट करने से पहले परीक्षण करना है ताकि यह सुनिश्चित हो सके कि अपडेट की गई थीम उपयोग में आने वाले अन्य प्लगइन्स के साथ संगत है।
एसईजे ने वर्डप्रेस सुरक्षा फर्म पैचस्टैक से संपर्क किया, जिसने सत्यापित किया कि एस्ट्रा ने क्रॉस-साइट स्क्रिप्टिंग कमजोरियों को ठीक कर दिया है।
फोर्स एस्ट्रा वर्डप्रेस थीम पर मंथन
एस्ट्रा दुनिया में सबसे लोकप्रिय वर्डप्रेस थीम में से एक है। यह एक मुफ़्त थीम है जो अपेक्षाकृत हल्की है, उपयोग में आसान है और पेशेवर दिखने वाली वेबसाइटों में परिणाम देती है। यहां तक कि इसमें Schema.org संरचित डेटा भी एकीकृत है।
क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरियाँ
क्रॉस-साइट स्क्रिप्टिंग कमजोरियाँ वर्डप्रेस में पाई जाने वाली सबसे आम प्रकार की कमजोरियों में से एक हैं, जो आमतौर पर तीसरे पक्ष के प्लगइन्स और थीम में पाई जाती हैं। यह एक भेद्यता है जो तब होती है जब डेटा इनपुट करने का कोई तरीका होता है लेकिन प्लगइन या थीम इनपुट या आउटपुट को पर्याप्त रूप से फ़िल्टर नहीं करता है, जो तब एक हमलावर को दुर्भावनापूर्ण पेलोड अपलोड करने की अनुमति दे सकता है।
इस विशेष भेद्यता को संग्रहीत XSS कहा जाता है। संग्रहित XSS को इसलिए कहा जाता है क्योंकि इसमें पेलोड को सीधे वेबसाइट सर्वर पर अपलोड किया जाता है और संग्रहीत किया जाता है।
गैर-लाभकारी वेबसाइट ओपन वर्ल्डवाइड एप्लिकेशन सिक्योरिटी प्रोजेक्ट (ओडब्ल्यूएएसपी) निम्नलिखित प्रदान करती है संग्रहीत XSS भेद्यता का विवरण:
“संग्रहीत हमले वे होते हैं जहां इंजेक्ट की गई स्क्रिप्ट स्थायी रूप से लक्ष्य सर्वर पर संग्रहीत होती है, जैसे कि डेटाबेस, संदेश बोर्ड, विज़िटर लॉग, टिप्पणी फ़ील्ड इत्यादि में। पीड़ित तब सर्वर से दुर्भावनापूर्ण स्क्रिप्ट को पुनः प्राप्त करता है जब वह संग्रहीत जानकारी का अनुरोध करता है संग्रहीत XSS को कभी-कभी पर्सिस्टेंट या टाइप II XSS भी कहा जाता है।”
प्लगइन पैचस्टैक समीक्षा
एसईजे ने पैचस्टैक से संपर्क किया, जिसने बदली हुई फ़ाइलों की समीक्षा की और तीन वर्डप्रेस फ़ंक्शंस में संभावित थीम सुरक्षा समस्या की पहचान की। वर्डप्रेस फ़ंक्शंस ऐसे कोड हैं जो वर्डप्रेस सुविधाओं के व्यवहार को बदल सकते हैं, जैसे किसी सेक्शन की अवधि बदलना। फ़ंक्शंस अनुकूलन जोड़ सकते हैं और थीम में नई सुविधाएँ पेश कर सकते हैं।
पैचस्टैक ने अपने निष्कर्षों की व्याख्या की:
“मैंने WordPress.org रिपॉजिटरी से संस्करण 4.6.9 और 4.6.8 (मुफ़्त संस्करण) डाउनलोड किया और अंतरों की जाँच की।
ऐसा प्रतीत होता है कि वर्डप्रेस के get_the_author फ़ंक्शन से रिटर्न वैल्यू से बचने के लिए कई फ़ंक्शन संशोधित किए गए हैं।
यह फ़ंक्शन किसी उपयोगकर्ता की “display_name” प्रॉपर्टी को प्रिंट करता है, जिसमें कुछ दुर्भावनापूर्ण हो सकता है जो किसी आउटपुट एस्केप फ़ंक्शन का उपयोग किए बिना सीधे मुद्रित होने पर क्रॉस-साइट स्क्रिप्टिंग भेद्यता के साथ समाप्त हो जाएगा।
यह परिवर्तन निम्नलिखित कार्यों में किया गया था:
astra_archive_page_info astra_post_author_name astra_post_authorउदाहरण के लिए, यदि कोई योगदानकर्ता एक पोस्ट लिखता है और वह योगदानकर्ता दुर्भावनापूर्ण पेलोड रखने के लिए अपना प्रदर्शन नाम बदलता है, तो वह पेलोड तब निष्पादित किया जाएगा जब कोई विज़िटर अपने दुर्भावनापूर्ण प्रदर्शन नाम के साथ उस पृष्ठ पर जाता है।”
वर्डप्रेस XSS कमजोरियों के संदर्भ में अविश्वसनीय डेटा तब हो सकता है जब कोई उपयोगकर्ता डेटा दर्ज कर सकता है।
इन प्रक्रियाओं को सेनिटाइजेशन, वैलिडेशन और एस्केप कहा जाता है, जो वर्डप्रेस साइट को सुरक्षित करने के तीन तरीके हैं।
यह कहा जा सकता है कि सैनिटाइजेशन एक ऐसी प्रक्रिया है जो इनपुट डेटा को फ़िल्टर करती है। सत्यापन यह निर्धारित करने के लिए इनपुट की जांच करने की प्रक्रिया है कि क्या यह वही है जो अपेक्षित है, जैसे कोड के बजाय टेक्स्ट। आउटपुट से बचना सुनिश्चित करता है कि कुछ भी आउटपुट, जैसे उपयोगकर्ता इनपुट या डेटाबेस सामग्री, ब्राउज़र में प्रदर्शित करना सुरक्षित है।
वर्डप्रेस सुरक्षा कंपनी पैचस्टैक ने डेटा लीक करने वाले कार्यों में बदलावों की पहचान की है, जो बदले में यह संकेत देते हैं कि भेद्यता क्या है और इसे कैसे ठीक किया गया था।
पैचस्टैक सुरक्षा परामर्श
यह ज्ञात नहीं है कि क्या किसी तीसरे पक्ष के सुरक्षा शोधकर्ता ने भेद्यता की खोज की थी या क्या एस्ट्रा थीम के निर्माताओं ब्रेनस्टॉर्म ने स्वयं इसकी खोज की और इसे ठीक किया।
आधिकारिक पैचस्टैक परामर्श यह जानकारी प्रदान करें:
“एक अज्ञात व्यक्ति ने वर्डप्रेस एस्ट्रा थीम में इस क्रॉस साइट स्क्रिप्टिंग (XSS) भेद्यता की खोज की और रिपोर्ट की। यह एक दुर्भावनापूर्ण अभिनेता को दुर्भावनापूर्ण स्क्रिप्ट, जैसे रीडायरेक्ट, विज्ञापन और अन्य HTML पेलोड को आपकी साइट में इंजेक्ट करने की अनुमति दे सकता है जब मेहमान अपनी साइट पर जाएँ। यह भेद्यता संस्करण 4.6.9 में ठीक कर दी गई है।”
पैचस्टैक ने भेद्यता का मूल्यांकन मध्यम खतरे के रूप में किया और इसे 1-10 के पैमाने पर 6.5 का स्कोर दिया।
वर्डफ़ेंस सुरक्षा परामर्श
वर्डफ़ेंस ने भी हाल ही में एक जारी किया है सुरक्षा परामर्श. उन्होंने एस्ट्रा फाइलों का विश्लेषण किया और निष्कर्ष निकाला:
“वर्डप्रेस के लिए एस्ट्रा थीम में अपर्याप्त इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग के कारण 4.6.8 तक के सभी संस्करणों में उपयोगकर्ता के डिस्प्ले नाम के माध्यम से एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग भेद्यता है। यह प्रमाणित हमलावरों को योगदानकर्ता-स्तर की पहुंच और उससे ऊपर की अनुमति देता है। , मनमाने ढंग से वेब स्क्रिप्ट को पृष्ठों में इंजेक्ट करें जो तब चलेंगी जब कोई उपयोगकर्ता सम्मिलित पृष्ठ तक पहुंचेगा।”
आम तौर पर यह अनुशंसा की जाती है कि थीम के उपयोगकर्ता अपने इंस्टॉलेशन को अपडेट करें, लेकिन लाइव वेबसाइट पर भेजने से पहले यह जांचना भी बुद्धिमानी है कि अपडेट की गई थीम त्रुटियों का कारण नहीं बनती है।
शटरस्टॉक/जीबी_आर्ट द्वारा प्रदर्शित छवि