নিরাপত্তার অভাব ২০০,০০০ ওয়ার্ডপ্রেস ওয়েবসাইটকে ঝুঁকির মুখে ফেলেছে

দ্য হ্যাকার নিউজের মতে, CVE-2023-3460 (CVSS স্কোর 9.8) হিসাবে ট্র্যাক করা দুর্বলতাটি আল্টিমেট মেম্বার প্লাগইনের (এক্সটেনশন) সমস্ত সংস্করণে বিদ্যমান, যার মধ্যে 29 জুন, 2023-এ প্রকাশিত সর্বশেষ সংস্করণ (2.6.6) অন্তর্ভুক্ত রয়েছে।

ওয়ার্ডপ্রেস ওয়েবসাইটে ব্যবহারকারীর প্রোফাইল এবং কমিউনিটি তৈরির জন্য আলটিমেট মেম্বার একটি জনপ্রিয় প্লাগইন। এটি অ্যাকাউন্ট পরিচালনার বৈশিষ্ট্যও প্রদান করে।

WPScan - ওয়ার্ডপ্রেস নিরাপত্তা কোম্পানি বলেছে যে এই নিরাপত্তা ত্রুটিটি এতটাই গুরুতর যে আক্রমণকারীরা প্রশাসনিক সুবিধা সহ নতুন ব্যবহারকারী অ্যাকাউন্ট তৈরি করতে এগুলি ব্যবহার করতে পারে, যার ফলে হ্যাকাররা প্রভাবিত ওয়েবসাইটগুলির উপর সম্পূর্ণ নিয়ন্ত্রণ পায়।

অপব্যবহারের উদ্বেগের কারণে দুর্বলতার বিশদ বিবরণ গোপন রাখা হয়েছে। ওয়ার্ডফেন্সের নিরাপত্তা বিশেষজ্ঞরা বর্ণনা করেছেন যে প্লাগইনটিতে নিষিদ্ধ কীগুলির একটি তালিকা রয়েছে যা ব্যবহারকারীরা আপডেট করতে পারবেন না, তবে প্লাগইনের সংস্করণগুলিতে প্রদত্ত মানগুলিতে স্ল্যাশ বা অক্ষর এনকোডিং ব্যবহার করার মতো ফিল্টারগুলিকে বাইপাস করার সহজ উপায় রয়েছে।

ক্ষতিগ্রস্ত ওয়েবসাইটগুলিতে ভুয়া অ্যাডমিন অ্যাকাউন্ট যুক্ত হওয়ার খবরের পর নিরাপত্তা ত্রুটিটি ঘোষণা করা হয়েছিল। এর ফলে প্লাগইন ডেভেলপাররা ২.৬.৪, ২.৬.৫ এবং ২.৬.৬ সংস্করণে আংশিক সংশোধন প্রকাশ করেছে। আগামী দিনে একটি নতুন আপডেট আশা করা হচ্ছে।

নতুন রিলিজে আলটিমেট মেম্বার জানিয়েছে যে ইউএম ফর্মের মাধ্যমে প্রিভিলেজ এস্কেলেশন দুর্বলতা ব্যবহার করা হয়েছিল, যার ফলে একজন বহিরাগত ব্যক্তি অ্যাডমিন-স্তরের ওয়ার্ডপ্রেস ব্যবহারকারী তৈরি করতে পেরেছিলেন। তবে, WPScan উল্লেখ করেছে যে প্যাচগুলি অসম্পূর্ণ ছিল এবং সেগুলি এড়ানোর একাধিক উপায় খুঁজে পেয়েছে, যার অর্থ বাগটি এখনও কাজে লাগানো যেতে পারে।

ওয়েবসাইটের অ্যাডমিন প্যানেলের মাধ্যমে ক্ষতিকারক প্লাগইন এবং থিম আপলোড করার জন্য apads, se_brutal, segs_brutal, wpaddmins, wpengine_backup, এবং wpenginer নামে নতুন অ্যাকাউন্ট নিবন্ধন করার জন্য এই দুর্বলতা ব্যবহার করা হচ্ছে। এই দুর্বলতার জন্য একটি সম্পূর্ণ প্যাচ উপলব্ধ না হওয়া পর্যন্ত আলটিমেট সদস্যদের প্লাগইনগুলি নিষ্ক্রিয় করার পরামর্শ দেওয়া হচ্ছে।