নিরাপত্তা ত্রুটি ৪০ লক্ষ ওয়ার্ডপ্রেস ওয়েবসাইটকে ঝুঁকির মুখে ফেলেছে

[বিজ্ঞাপন_১]

তাদের ব্লগে লেখা, ওয়ার্ডফেন্স থ্রেট ইন্টেলিজেন্স টিম বলেছে যে তারা লাইটস্পিড ক্যাশ প্লাগইনের একটি ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা দায়িত্বের সাথে প্রকাশ করেছে, এটি একটি জনপ্রিয় অ্যাড-অন যা ৪০ লক্ষেরও বেশি ওয়ার্ডপ্রেস সাইটে ইনস্টল করা আছে। এই দুর্বলতা হ্যাকারদের অবদানকারীর অধিকার সহ শর্টকোড ব্যবহার করে দূষিত স্ক্রিপ্ট ইনজেক্ট করার অনুমতি দেয়।

LiteSpeed Cache হল একটি প্লাগইন যা ক্যাশিং এবং সার্ভার-লেভেল অপ্টিমাইজেশনের মাধ্যমে ওয়ার্ডপ্রেস ওয়েবসাইটগুলিকে গতিশীল করে। এই প্লাগইনটি একটি শর্টকোড প্রদান করে যা ওয়ার্ডপ্রেসে যোগ করার সময় এজ সাইড প্রযুক্তি ব্যবহার করে ব্লকগুলিকে ক্যাশে করতে ব্যবহার করা যেতে পারে।

তবে, ওয়ার্ডফেন্স জানিয়েছে যে প্লাগইনটির শর্টকোড বাস্তবায়ন অনিরাপদ, যার ফলে এই পৃষ্ঠাগুলিতে ইচ্ছামত স্ক্রিপ্ট ঢোকানো সম্ভব হয়েছিল। দুর্বল কোড পরীক্ষা করে দেখা গেছে যে শর্টকোড পদ্ধতিটি পর্যাপ্তভাবে ইনপুট এবং আউটপুট পরীক্ষা করেনি। এর ফলে হুমকিদাতা XSS আক্রমণ করতে সক্ষম হয়েছিল। একবার কোনও পৃষ্ঠা বা পোস্টে ঢোকানো হলে, ব্যবহারকারী যখনই এটি পরিদর্শন করবে তখনই স্ক্রিপ্টটি কার্যকর হবে।

Lỗi bảo mật khiến 4 triệu website WordPress gặp nguy hiểm - Ảnh 1. — লাইটস্পিড ক্যাশে ওয়ার্ডপ্রেস প্ল্যাটফর্মের একটি বিখ্যাত স্পিড-আপ প্লাগইন।

যদিও দুর্বলতার জন্য একটি ক্ষতিগ্রস্থ অবদানকারী অ্যাকাউন্ট বা একজন ব্যবহারকারীকে অবদানকারী হিসাবে নিবন্ধন করতে হবে, Wordfence বলেছে যে একজন আক্রমণকারী সংবেদনশীল তথ্য চুরি করতে পারে, ওয়েবসাইটের বিষয়বস্তুতে হেরফের করতে পারে, প্রশাসকদের আক্রমণ করতে পারে, ফাইল সম্পাদনা করতে পারে, অথবা দর্শনার্থীদের ক্ষতিকারক ওয়েবসাইটে পুনঃনির্দেশিত করতে পারে।

ওয়ার্ডফেন্স জানিয়েছে যে তারা ১৪ আগস্ট লাইটস্পিড ক্যাশ ডেভেলপমেন্ট টিমের সাথে যোগাযোগ করেছে। প্যাচটি ১৬ আগস্ট স্থাপন করা হয়েছিল এবং ১০ অক্টোবর ওয়ার্ডপ্রেসে প্রকাশিত হয়েছিল। এই নিরাপত্তা ত্রুটি সম্পূর্ণরূপে ঠিক করার জন্য ব্যবহারকারীদের এখন লাইটস্পিড ক্যাশ ৫.৭ সংস্করণে আপডেট করতে হবে। যদিও বিপজ্জনক, ওয়ার্ডফেন্স ফায়ারওয়ালের অন্তর্নির্মিত ক্রস-সাইট স্ক্রিপ্টিং সুরক্ষা বৈশিষ্ট্যটি এই শোষণ প্রতিরোধে সহায়তা করেছে।

[বিজ্ঞাপন_২]
উৎস লিঙ্ক