शोधकर्ताओं ने 15 कमजोरियों वाले ग्यारह अलग-अलग एलिमेंटर प्लगइन्स के लिए सलाह जारी की है जो हैकर्स को दुर्भावनापूर्ण फ़ाइलें अपलोड करने की अनुमति दे सकती हैं। उनमें से एक को उच्च खतरे की भेद्यता के रूप में दर्जा दिया गया है क्योंकि यह हैकर्स को एक्सेस नियंत्रण को बायपास करने, स्क्रिप्ट निष्पादित करने और संवेदनशील डेटा प्राप्त करने की अनुमति दे सकता है।
दो अलग-अलग प्रकार की कमजोरियाँ
अधिकांश कमजोरियाँ संग्रहीत क्रॉस साइट स्क्रिप्टिंग (XSS) हैं। उनमें से तीन में स्थानीय फ़ाइलें शामिल हैं।
XSS भेद्यताएँ वर्डप्रेस प्लगइन्स और थीम में पाई जाने वाली भेद्यता के सबसे सामान्य रूपों में से एक हैं। वे आमतौर पर इनपुट डेटा को कैसे सुरक्षित किया जाता है (इनपुट सैनिटाइजेशन) और आउटपुट डेटा को कैसे लॉक किया जाता है (आउटपुट एस्केप) दोनों में खामियों से उत्पन्न होते हैं।
स्थानीय फ़ाइल समावेशन भेद्यता एक भेद्यता है जो एक असुरक्षित उपयोगकर्ता इनपुट फ़ील्ड का शोषण करती है जो एक हमलावर को इनपुट में एक फ़ाइल को “शामिल” करने की अनुमति देती है। Include एक कोडिंग शब्द है। सामान्य अंग्रेजी में, फ़ाइल शामिल करना एक स्क्रिप्ट चीज़ (कथन) है जो साइट को किसी फ़ाइल से विशिष्ट कोड जोड़ने के लिए कहता है, जैसे कि PHP फ़ाइल। मैंने एक फ़ाइल (जैसे एक वेब पेज शीर्षक) से डेटा लाने और उसे मेटा विवरण में पेस्ट करने के लिए PHP में शामिल का उपयोग किया है, यह शामिल का एक उदाहरण है।
इस प्रकार की भेद्यता एक गंभीर खतरा हो सकती है क्योंकि यह एक हमलावर को विभिन्न प्रकार के कोड को “शामिल” करने की अनुमति देती है जिसके परिणामस्वरूप साइट पर किए जा सकने वाले कार्यों पर किसी भी प्रतिबंध को बायपास करने और/या एक्सेस की अनुमति देने की क्षमता हो सकती है। संवेदनशील डेटा जो सामान्यतः प्रतिबंधित है।
वेब एप्लिकेशन सुरक्षा प्रोजेक्ट (OWASP) खोलें को परिभाषित करता है स्थानीय फ़ाइल समावेशन भेद्यता:
“फ़ाइल समावेशन भेद्यता एक हमलावर को एक फ़ाइल शामिल करने की अनुमति देती है, आमतौर पर लक्ष्य एप्लिकेशन में लागू “डायनामिक फ़ाइल समावेशन” तंत्र का फायदा उठाकर। उचित प्रमाणीकरण के बिना उपयोगकर्ता द्वारा प्रदत्त इनपुट के उपयोग के कारण भेद्यता उत्पन्न होती है।
इससे फ़ाइल सामग्री के आउटपुट जैसा कुछ हो सकता है, लेकिन हार्डवेयर के आधार पर, यह निम्न भी हो सकता है:
वेब सर्वर पर कोड निष्पादित करना
जावास्क्रिप्ट जैसे क्लाइंट-साइड कोड को निष्पादित करना जो क्रॉस-साइट स्क्रिप्टिंग (XSS) जैसे अन्य हमलों का कारण बन सकता है
सेवा से इनकार (DoS)
संवेदनशील जानकारी का खुलासा”
कमजोर एलीमेंटर प्लगइन्स की सूची
कुल ग्यारह एलीमेंटर प्लगइन्स हैं जिनमें भेद्यता अलर्ट हैं, जिनमें से दो आज (29 मार्च) जारी किए गए, जिनमें से दो 28 मार्च को जारी किए गए। शेष सात पिछले कुछ दिनों में जारी किए गए थे।
कुछ प्लगइन्स में एक से अधिक भेद्यताएँ होती हैं, इसलिए ग्यारह प्लगइन्स में कुल 15 भेद्यताएँ होती हैं।
ग्यारह प्लगइन्स में से, एक को उच्च गंभीरता की भेद्यता के रूप में और बाकी को मध्यम गंभीरता की भेद्यता के रूप में मूल्यांकित किया गया है।
नवीनतम से आरंभिक तक अवरोही क्रम में सूचीबद्ध प्लगइन्स की सूची नीचे दी गई है। कमजोरियों के आगे की संख्याएँ इंगित करती हैं कि क्या उनमें एक से अधिक भेद्यताएँ हैं।
कमजोर एलीमेंटर प्लगइन्स की सूची
- एलिमेंट्सकिट एलिमेंटर प्लगइन्स (x2)
- एलीमेंटर के लिए असीमित तत्व
- 140+ विजेट | एलिमेंटर के लिए सर्वोत्तम ऐड-ऑन
- एलीमेंटर प्लगइन्स बेहतर हैं
- एलिमेंटर ऐडऑन एलिमेंट्स (x2)
- एलीमेंटर के लिए मास्टर प्लगइन्स
- एलीमेंटर के लिए प्लस ऐडऑन (x2)
- एलीमेंटर के लिए आवश्यक प्लगइन्स (x2)
- एलिमेंट पैक एलिमेंटर ऐड-ऑन
- प्राइम स्लाइडर – एलीमेंटर के लिए ऐड-ऑन
- एलीमेंटर के लिए प्लगइन्स माइग्रेट करें
उच्च गंभीरता भेद्यता
वर्डप्रेस के लिए एलिमेंट्सकिट एलिमेंटर ऐडऑन में पाई जाने वाली हाई-प्रोफाइल हार्डवेयर भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह दस लाख से अधिक वेबसाइटों को खतरे में डाल सकती है। इस भेद्यता को 1-10 के पैमाने पर 8.8 रेटिंग दी गई है।
इसकी लोकप्रियता की व्याख्या प्लगइन की ऑल-इन-वन प्रकृति से होती है जो उपयोगकर्ताओं को हेडर, फ़ूटर और मेनू में पृष्ठ पर लगभग किसी भी डिज़ाइन सुविधा को आसानी से बदलने की अनुमति देती है। इसमें टेम्प्लेट और 85 विजेट्स की एक विशाल लाइब्रेरी भी शामिल है जो एलिमेंटर वेबसाइट बिल्डिंग प्लेटफॉर्म के साथ बनाए गए वेब पेजों में अतिरिक्त कार्यक्षमता जोड़ती है।
वर्डफ़ेंस सुरक्षा शोधकर्ता बताया गया है भेद्यता का ख़तरा:
“वर्डप्रेस के लिए एलिमेंट्सकिट एलिमेंटर प्लगइन रेंडर_रॉ फ़ंक्शन के माध्यम से 3.0.6 तक और इसमें शामिल सभी संस्करणों में स्थानीय फ़ाइलों को शामिल करने के लिए असुरक्षित है। यह प्रमाणित हमलावरों को, योगदानकर्ता-स्तर पहुंच या उच्चतर के साथ, मनमाने ढंग से फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देता है सर्वर, उन फ़ाइलों में किसी भी PHP कोड के निष्पादन की अनुमति देता है। इसका उपयोग एक्सेस नियंत्रण को बायपास करने, संवेदनशील डेटा प्राप्त करने, या उन मामलों में कोड निष्पादन प्राप्त करने के लिए किया जा सकता है जहां छवियों और अन्य ‘सुरक्षित’ फ़ाइल प्रकारों को अपलोड और शामिल किया जा सकता है।”
लाखों वर्डप्रेस साइटें प्रभावित हैं
कमजोरियाँ 3 मिलियन से अधिक वेबसाइटों को प्रभावित कर सकती हैं। केवल दो प्लगइन्स में कुल तीन मिलियन सक्रिय इंस्टॉल हैं। साइटें इनमें से केवल एक प्लगइन का उपयोग करती हैं क्योंकि सुविधाओं के बीच एक निश्चित मात्रा में ओवरलैप होता है। इनमें से कुछ प्लगइन्स की ऑल-इन-वन प्रकृति का मतलब है कि किसी पृष्ठ पर स्लाइडर, मेनू और अन्य तत्वों को जोड़ने के लिए महत्वपूर्ण विजेट तक पहुंचने के लिए केवल एक प्लगइन की आवश्यकता होती है।
इंस्टॉलेशन की संख्या के आधार पर असुरक्षित प्लगइन्स की सूची
- एलीमेंटर में आवश्यक अतिरिक्त – 2 मिलियन
- एलिमेंट्सकिट एलिमेंटर प्लगइन्स – मिलियन
- एलीमेंटर के लिए असीमित तत्व – 200k
- एलिमेंटर ऐडऑन एलिमेंट्स – 100k
- एलीमेंटर के लिए प्लस प्लगइन्स – 100k
- एलिमेंट पैक एलिमेंटर ऐडऑन – 100k
- प्राइम स्लाइडर – एलीमेंटर में अतिरिक्त – 100k
- एलीमेंटर के लिए मास्टर ऐडऑन – 40k
- 140+ विजेट | एलिमेंटर के लिए सर्वोत्तम प्लगइन्स – 10k
- एलिमेंटर के लिए प्लगइन्स माइग्रेट करें – 3k
- बेहतर एलीमेंटर प्लगइन्स – अज्ञात – वर्डप्रेस द्वारा बंद
अनुशंसित कार्रवाई
हालाँकि कई मध्यम-स्तर की कमजोरियों के लिए हैकर्स को हमले शुरू करने के लिए योगदानकर्ता-स्तर प्रमाणीकरण प्राप्त करने की आवश्यकता होती है, लेकिन अन्य स्थापित प्लगइन्स या थीम द्वारा उत्पन्न जोखिम को कम नहीं आंकना सबसे अच्छा है जो हमलावर को इन विशिष्ट हमलों को लॉन्च करने की क्षमता दे सकता है।
किसी लाइव साइट पर अपडेट भेजने से पहले अपडेटेड थीम की जांच करना आमतौर पर बुद्धिमानी है।
आधिकारिक वर्डफ़ेंस सलाह पढ़ें (सीवीई नंबरों के साथ):
ए. 29/03 एलिमेंट्सकिट प्लगइन्स एलीमेंटर <= 3.0.6 - स्क्रिप्टिंग क्रॉस-साइट संग्रहीत सत्यापित (योगदानकर्ता+) सीवीई-2024-1238
सोमवार 03/29 एलिमेंट्सकिट प्लगइन्स एलीमेंटर <= 3.0.6 - रेंडर_रॉ में सत्यापित स्थानीय फ़ाइल (योगदानकर्ता+) शामिल करें सीवीई-2024-2047 8.8 उच्च खतरा
29/03 एलीमेंटर के लिए असीमित घटक <= 1.5.96 - विजेट लिंक के माध्यम से सत्यापित संग्रहीत क्रॉस-साइट स्क्रिप्ट (योगदानकर्ता+) सीवीई-2024-0367
3/28 140+ विजेट | सर्वश्रेष्ठ एलीमेंटर ऐडऑन – मुफ़्त <= 1.4.2 - सत्यापित संग्रहीत क्रॉस-साइट स्क्रिप्ट (योगदानकर्ता+) सीवीई-2024-2250
3/28 बेहतर एलिमेंटर ऐडऑन <= 1.4.1 - संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (योगदानकर्ता+) विजेट लिंक के माध्यम से सत्यापित सीवीई-2024-2280
एक। एलीमेंटर ऐडऑन तत्व <= 1.13.1 - क्रॉस-साइट स्क्रिप्टिंग संग्रहीत सत्यापित (योगदानकर्ता+) सीवीई-2024-2091
बी। एलीमेंटर ऐडऑन एलिमेंट्स <= 1.13.2 - 'टेक्स्ट सेपरेटर' और 'इमेज कंपेयर' विजेट के साथ स्क्रिप्टिंग क्रॉस-साइट संग्रहीत डोम आधारित सत्यापित (योगदानकर्ता+) सीवीई-2024-2792
एलीमेंटर के लिए मास्टर प्लगइन्स <= 2.0.5.6 - मूल्य निर्धारण तालिका विजेट के साथ सत्यापित संग्रहीत क्रॉस-साइट स्क्रिप्ट (योगदानकर्ता+) सीवीई-2024-2139
एक। एलीमेंटर के लिए प्लस ऐडऑन <= 5.4.1 - टीम सदस्य पंजीकरण के माध्यम से सत्यापित स्थानीय फ़ाइलों (योगदानकर्ता+) को शामिल करना सीवीई-2024-2210
बी। एलीमेंटर के लिए प्लस ऐडऑन <= 5.4.1 - क्लाइंट विजेट के माध्यम से सत्यापित स्थानीय फ़ाइलों (योगदानकर्ता+) को शामिल करना सीवीई-2024-2203
एक। आवश्यक एलिमेंटर प्लगइन्स – सर्वश्रेष्ठ एलिमेंटर WooCommerce टेम्प्लेट, विजेट, किट और बिल्डर्स <= 5.9.11 - क्रॉस-साइट स्क्रिप्टिंग सत्यापित संग्रहीत (योगदानकर्ता+) (काउंटडाउन एप्लेट के अधिसूचना पैरामीटर का उपयोग करके) सीवीई-2024-2623
बी। आवश्यक एलिमेंटर प्लगइन्स – सर्वश्रेष्ठ एलिमेंटर WooCommerce टेम्प्लेट, विजेट, किट और बिल्डर्स <= 5.9.11 - क्रॉस-साइट स्क्रिप्टिंग सत्यापित संग्रहीत (योगदानकर्ता+) (वू प्रोडक्ट कैरोसेल विजेट में संरेखण पैरामीटर का उपयोग करके) सीवीई-2024-2650
एलिमेंट पैक एलिमेंटर ऐडऑन <= 5.5.3 - संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (योगदानकर्ता+) लिंक के माध्यम से सत्यापित सीवीई-2024-30185
प्राइम स्लाइडर – एलीमेंटर के लिए प्लगइन्स <= 3.13.1 - हेडर के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्ट सत्यापित (योगदानकर्ता+) सीवीई-2024-30186
एलीमेंटर के लिए पोर्ट प्लगइन्स <= 1.2.9 - सत्यापित संग्रहीत क्रॉस-साइट स्क्रिप्ट (योगदानकर्ता+) सीवीई-2024-2131
शटरस्टॉक/आंद्रे मयागकोव द्वारा प्रदर्शित छवि
We’re a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable info to work on. You’ve done an impressive job and our
entire community will be thankful to you.
Very great post. I just stumbled upon your blog and wanted to mention that I have truly loved surfing
around your blog posts. After all I’ll be subscribing to
your rss feed and I’m hoping you write once more very soon!