वर्डप्रेस के लिए Google फ़ॉन्ट्स ऑप्टिमाइज़ेशन प्लगइन में हाल ही में एक उच्च-रेटेड भेद्यता को पैच किया गया था, जो हमलावरों को संपूर्ण निर्देशिकाओं को हटाने और दुर्भावनापूर्ण स्क्रिप्ट अपलोड करने की अनुमति देता है।
ओएमजीएफ | जीडीपीआर/डीएसजीवीओ अनुरूप वर्डप्रेस प्लगइन
प्लगइन, ओएमजीएफ | जीडीपीआर/डीएसजीवीओ अनुपालक, तेज़ Google फ़ॉन्ट्स। सीएल, पृष्ठ गति पर प्रभाव को कम करने के लिए Google फ़ॉन्ट्स के उपयोग को अनुकूलित करता है और जीडीपीआर के अनुरूप भी है, जो इसे Google फ़ॉन्ट्स को लागू करने के इच्छुक यूरोपीय संघ के उपयोगकर्ताओं के लिए मूल्यवान बनाता है।
वर्डफ़ेंस भेद्यता रेटिंग का स्क्रीनशॉट
भेद्यता
भेद्यता विशेष चिंता का विषय है क्योंकि यह अप्रमाणित हमलावरों को अनुमति देती है। “असत्यापित” का अर्थ है कि किसी हमलावर को साइट पर पंजीकृत होने या किसी भी स्तर की साख रखने की आवश्यकता नहीं है।
भेद्यता को एक अप्रमाणित निर्देशिका को हटाने और क्रॉस-साइट पेलोड (XSS) को अपलोड करने की अनुमति देने के रूप में वर्णित किया गया है।
क्रॉस-साइट स्क्रिप्टिंग (XSS) एक प्रकार का हमला है जहां एक दुर्भावनापूर्ण स्क्रिप्ट को वेबसाइट सर्वर पर अपलोड किया जाता है, जिसका उपयोग किसी भी विज़िटर के ब्राउज़र पर दूरस्थ रूप से हमला करने के लिए किया जा सकता है। इसके परिणामस्वरूप कुकीज़ या उपयोगकर्ता सत्र जानकारी तक पहुंच हो सकती है, जो किसी हमलावर को साइट पर आने वाले उपयोगकर्ता का विशेषाधिकार स्तर प्राप्त करने की अनुमति देगा।
भेद्यता का कारण, जैसा कि वर्डफेंस शोधकर्ताओं द्वारा पहचाना गया है, क्षमता जांच की कमी है – एक सुरक्षा सुविधा जो जांच करती है कि उपयोगकर्ता के पास किसी विशिष्ट प्लगइन सुविधा तक पहुंच है या नहीं, इस मामले में, एक व्यवस्थापक-स्तरीय सुविधा।
अधिकारी प्लगइन निर्माताओं के लिए वर्डप्रेस डेवलपर पेज योग्यता परीक्षण के बारे में यह कहता है:
“उपयोगकर्ता क्षमताएं वे विशिष्ट अनुमतियां हैं जो आप प्रत्येक उपयोगकर्ता या उपयोगकर्ता भूमिका को प्रदान करते हैं।
उदाहरण के लिए, प्रशासकों के पास “manage_options” क्षमता होती है जो उन्हें साइट के लिए विकल्पों को देखने, संपादित करने और सहेजने की अनुमति देती है। दूसरी ओर संपादकों में इस क्षमता का अभाव है जो उन्हें विकल्पों के साथ बातचीत करने से रोकेगा।
फिर इन क्षमताओं का प्रशासन के भीतर विभिन्न बिंदुओं पर परीक्षण किया जाता है। पद को सौंपी गई योग्यताओं के अनुसार; मेनू, कार्यक्षमता और वर्डप्रेस अनुभव के अन्य पहलुओं को जोड़ा या हटाया जा सकता है।
जैसे ही आप एक प्लगइन बनाते हैं, सुनिश्चित करें कि आप अपना कोड केवल तभी चलाएं जब वर्तमान उपयोगकर्ता के पास आवश्यक क्षमताएं हों।”
वर्डफ़ेंस भेद्यता का कारण बताता है:
“…5.7.9 तक और इसमें शामिल सभी संस्करणों में admin_init के माध्यम से जुड़े update_settings() फ़ंक्शन में क्षमता जांच की अनुपलब्धता के कारण संग्रहीत क्रॉस-साइट डेटा और स्क्रिप्ट के अनधिकृत संशोधन के प्रति संवेदनशील।”
वर्डफेंस यह भी नोट करता है कि पिछले अपडेट ने सुरक्षा अंतर को बंद करने का प्रयास किया है लेकिन संस्करण 5.7.10 को प्लगइन का सबसे सुरक्षित संस्करण मानता है।
वर्डफ़ेंस भेद्यता चेतावनी पढ़ें:
शटरस्टॉक/निकुलिना तातियाना द्वारा प्रदर्शित छवि