बुधवार, फ़रवरी 21, 2024

Top 5 This Week

spot_img

Related Posts

वर्डप्रेस जीडीपीआर अनुपालन प्लगइन भेद्यता


800,000 से अधिक इंस्टॉल के साथ एक लोकप्रिय वर्डप्रेस गोपनीयता प्लगइन ने हाल ही में एक संग्रहीत XSS भेद्यता को पैच किया है जो एक हमलावर को वेबसाइट आगंतुकों के खिलाफ हमले शुरू करने के लिए दुर्भावनापूर्ण स्क्रिप्ट अपलोड करने की अनुमति दे सकता है।

अनुपालन जीडीपीआर/सीसीपीए कुकी सहमति प्लगइन वर्डप्रेस

कंप्लायंस वर्डप्रेस प्लगइन एक शक्तिशाली टूल है जो वेबसाइट मालिकों को जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) और कैलिफोर्निया कंज्यूमर प्राइवेसी एक्ट (सीसीपीए) जैसे गोपनीयता नियमों का अनुपालन करने में मदद करता है।

प्लगइन उपयोगकर्ता की गोपनीयता के कई पहलुओं को प्रबंधित करता है, जिसमें तृतीय-पक्ष कुकीज़ को अवरुद्ध करना, कुकी सहमति (उपक्षेत्र सहित) को प्रबंधित करना और कुकी बैनर से संबंधित कई पहलुओं को प्रबंधित करना शामिल है।

इसकी बहुमुखी प्रतिभा और उपयोगिता इस टूल की लोकप्रियता को समझा सकती है जिसके वर्तमान में 800,000 से अधिक इंस्टॉलेशन हैं।

कंप्लायंस प्लगइन संग्रहीत XSS भेद्यता

कॉम्प्लिएंज़ वर्डप्रेस प्लगइन में एक संग्रहीत XSS भेद्यता पाई गई है जो एक प्रकार की भेद्यता है जो उपयोगकर्ता को साइट के सर्वर पर सीधे एक दुर्भावनापूर्ण स्क्रिप्ट अपलोड करने की अनुमति देती है। प्रतिबिंबित XSS के विपरीत, जिसके लिए एक वेबसाइट उपयोगकर्ता को एक लिंक पर क्लिक करने की आवश्यकता होती है, संग्रहीत XSS में एक दुर्भावनापूर्ण स्क्रिप्ट शामिल होती है जिसे लक्ष्य वेबसाइट के सर्वर से संग्रहीत और परोसा जाता है।

भेद्यता कंप्लायंस एडमिन सेटिंग्स में है जो दो सुरक्षा कार्यों की कमी के रूप में है।

1. इनपुट कीटाणुशोधन
प्लगइन में पर्याप्त इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग का अभाव है। किसी वेबसाइट पर इनपुट क्या है, जैसे कि फॉर्म फ़ील्ड, यह जांचने के लिए इनपुट सैनिटाइजिंग एक मानक प्रक्रिया है, ताकि यह सुनिश्चित किया जा सके कि इनपुट वही है जो अपेक्षित है, जैसे कि स्क्रिप्ट अपलोड के विपरीत टेक्स्ट इनपुट।

आधिकारिक वर्डप्रेस डेवलपर गाइड डेटा सैनिटाइजेशन का वर्णन करता है जैसा:

“इनपुट सैनिटाइजेशन इनपुट डेटा को सुरक्षित/सफाई/फ़िल्टर करने की प्रक्रिया है। सैनिटाइजेशन की तुलना में सत्यापन को प्राथमिकता दी जाती है क्योंकि सत्यापन अधिक विशिष्ट है। लेकिन जब “अधिक विशिष्ट” संभव नहीं है, तो सैनिटाइजेशन अगली सबसे अच्छी चीज है।”

2. एस्केप आउटपुट
प्लगइन में आउटपुट एस्केपिंग का अभाव है जो एक सुरक्षा प्रक्रिया है जो उपयोगकर्ता के लिए संसाधित होने से पहले अवांछित डेटा को हटा देती है।

भेद्यता कितनी गंभीर है?

भेद्यता के लिए हमलावर को हमले को अंजाम देने के लिए प्रशासकीय विशेषाधिकार स्तर या उच्चतर प्राप्त करने की आवश्यकता होती है। शायद यही कारण है कि इस भेद्यता को 10 में से 4.4 रेटिंग दी गई है, जिसमें दस उच्चतम स्तर की भेद्यता का प्रतिनिधित्व करते हैं।

भेद्यता केवल कुछ प्रकार की स्थापनाओं को प्रभावित करती है।

वर्डफ़ेंस के अनुसार:

“यह व्यवस्थापक-स्तर के विशेषाधिकारों या उच्चतर के साथ प्रमाणित हमलावरों को पृष्ठों में मनमानी वेब स्क्रिप्ट इंजेक्ट करने की अनुमति देता है, जिन्हें उपयोगकर्ता द्वारा इंजेक्ट किए गए पेज तक पहुंचने पर निष्पादित किया जाएगा।

यह केवल उन इंस्टॉलेशन और मल्टी-साइट इंस्टॉलेशन को प्रभावित करता है जहां unfiltered_html अक्षम कर दिया गया है।”

नवीनतम संस्करण में अद्यतन करें

भेद्यता संस्करण 6.5.5 के बराबर या उससे कम कॉम्प्लिएंज़ संस्करणों को प्रभावित करती है। उपयोगकर्ताओं को सलाह दी जाती है कि वे संस्करण 6.5.6 या उच्चतर पर अपडेट करें।

भेद्यता के बारे में Wordfence की सलाह पढ़ें:

अनुपालन जीडीपीआर/सीसीपीए कुकी सहमति <= 6.5.5 - स्क्रिप्ट को सेटिंग्स के माध्यम से प्रमाणित साइटों (प्रशासक+) के बीच संग्रहीत किया जाता है

ibnkamal
ibnkamalhttps://iseotools.me
Wasim Ibn Kamal | founder of iseotools.me, newslike.site and healtinfo.space | A developer and UI/UX designer. Cluster-notes.blogspot.com and tsbdu.blogspot.com are two of my blogs.

कोई जवाब दें

कृपया अपनी टिप्पणी दर्ज करें!
कृपया अपना नाम यहाँ दर्ज करें

Popular Articles