দ্য হ্যাকার নিউজ-এর মতে, মিনিওরেজ (miniOrage)-এর তৈরি ম্যালওয়্যার স্ক্যানার (Malware Scanner) এবং ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (Web Application Firewall) নামক দুটি ওয়ার্ডপ্রেস প্লাগইন একটি গুরুতর নিরাপত্তা দুর্বলতা (CVE-2024-2172)-এর সম্মুখীন হচ্ছে, যা স্টিওফ্যান (Stiofan) আবিষ্কার করেছে এবং CVSS দুর্বলতা স্কোরিং সিস্টেমে এর তীব্রতার স্কোর ১০-এর মধ্যে ৯.৮।
এই দুর্বলতাটির ব্যাপক প্রভাব ছিল, কারণ যদিও ডেভেলপার ৭ই মার্চ, ২০২৪-এ এটিকে ওয়ার্ডপ্রেস অ্যাপ স্টোর থেকে সরিয়ে দিয়েছিল, তবুও এটি সমস্যা সৃষ্টি করতে পারতো। এর কারণ হিসেবে দেখা গেছে যে, ওয়েব অ্যাপ্লিকেশন ফায়ারওয়ালের (Web Application Firewall) ৩০০টি ওয়েবসাইটের তুলনায় ম্যালওয়্যার স্ক্যানার (Malware Scanner) প্রায় ১০,০০০টি ওয়েবসাইটে ইনস্টল এবং সক্রিয় ছিল।
ওয়ার্ডফেন্স জানিয়েছে যে, প্লাগইনটির কোডে যাচাই ব্যবস্থার অভাবের ফলে এই দুর্বলতাটি তৈরি হয়েছে, যা একজন আক্রমণকারীকে প্রমাণীকরণ ছাড়াই যথেচ্ছভাবে যেকোনো ব্যবহারকারীর পাসওয়ার্ড আপডেট করতে এবং অ্যাডমিনিস্ট্রেটর পর্যায়ে বিশেষাধিকার উন্নীত করতে সক্ষম করে, যার ফলে সম্ভাব্যভাবে সম্পূর্ণ ওয়েবসাইটটিই অরক্ষিত হয়ে পড়তে পারে।
সবচেয়ে জনপ্রিয় সিএমএস প্ল্যাটফর্ম হওয়ায় ওয়ার্ডপ্রেস হ্যাকারদের প্রধান লক্ষ্যবস্তু।
প্রশাসনিক অধিকার থাকলে, হ্যাকাররা সহজেই অতিরিক্ত প্লাগইন, ব্যাকডোরযুক্ত ক্ষতিকারক জিপ ফাইল ডাউনলোড করতে পারে এবং ব্যবহারকারীদের অন্যান্য ক্ষতিকারক ওয়েবসাইটে পুনঃনির্দেশিত করার জন্য ওয়েবসাইটের পোস্ট পরিবর্তন করতে পারে।
এর আগে, RegistrationMagic নামক একটি অনুরূপ প্লাগইন CVE-2024-1991 দুর্বলতা কোড এবং 8.8 CVSS স্কোর সহ রিপোর্ট করা হয়েছিল, যা একটি উচ্চ-গুরুত্বপূর্ণ প্রিভিলেজ এসকেলেশন দুর্বলতা। এই প্লাগইনটিও ১০,০০০ বারের বেশি ডাউনলোড এবং ইনস্টল করা হয়েছে।
ওয়ার্ডপ্রেস একটি জনপ্রিয় ওপেন-সোর্স কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (সিএমএস) যা বিশ্বজুড়ে ব্যাপকভাবে ব্যবহৃত হয়। এর ইনস্টলেশন, কন্টেন্ট আপলোড এবং ব্যবস্থাপনার সহজলভ্যতা এটিকে অনলাইন স্টোর, পোর্টাল এবং আলোচনা ফোরামের মতো বিভিন্ন ধরণের ওয়েবসাইটের জন্য একটি আদর্শ প্ল্যাটফর্ম করে তুলেছে। w3techs- এর মতে, বিশ্বব্যাপী ৪৩.১% ওয়েবসাইট বর্তমানে এই সিএমএস প্ল্যাটফর্মটি ব্যবহার করে।
[বিজ্ঞাপন_২]
উৎস লিঙ্ক
মন্তব্য (0)