सुरक्षा खामी से 40 लाख वर्डप्रेस वेबसाइटें खतरे में

अपने ब्लॉग पर लिखते हुए, वर्डफ़ेंस ख़तरा खुफिया टीम ने कहा कि उसने लाइटस्पीड कैश प्लगइन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का ज़िम्मेदारी से खुलासा किया है। लाइटस्पीड कैश प्लगइन एक लोकप्रिय ऐड-ऑन है जो 40 लाख से ज़्यादा वर्डप्रेस साइट्स पर इंस्टॉल है। यह भेद्यता योगदानकर्ता विशेषाधिकारों वाले हैकर्स को शॉर्टकोड का इस्तेमाल करके दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।

लाइटस्पीड कैश एक प्लगइन है जो कैशिंग और सर्वर-स्तरीय अनुकूलन के साथ वर्डप्रेस वेबसाइटों की गति बढ़ाता है। यह प्लगइन एक शॉर्टकोड प्रदान करता है जिसका उपयोग वर्डप्रेस में जोड़े जाने पर एज साइड तकनीक का उपयोग करके ब्लॉक को कैश करने के लिए किया जा सकता है।

हालाँकि, वर्डफ़ेंस ने कहा कि प्लगइन का शॉर्टकोड कार्यान्वयन असुरक्षित था, जिससे इन पृष्ठों में मनमाने स्क्रिप्ट डाले जा सकते थे। असुरक्षित कोड की जाँच से पता चला कि शॉर्टकोड विधि इनपुट और आउटपुट की पर्याप्त जाँच नहीं करती थी। इससे ख़तरा पैदा करने वाले को XSS हमले करने का मौका मिल गया। एक बार किसी पृष्ठ या पोस्ट में डालने के बाद, यह स्क्रिप्ट हर बार उपयोगकर्ता द्वारा उस पर जाने पर निष्पादित होती थी।

हालांकि इस भेद्यता के लिए एक समझौता किए गए योगदानकर्ता खाते या उपयोगकर्ता को योगदानकर्ता के रूप में पंजीकृत करने की आवश्यकता होती है, वर्डफ़ेंस ने कहा कि एक हमलावर संवेदनशील जानकारी चुरा सकता है, वेबसाइट की सामग्री में हेरफेर कर सकता है, प्रशासकों पर हमला कर सकता है, फ़ाइलों को संपादित कर सकता है, या आगंतुकों को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है।

वर्डफ़ेंस ने कहा कि उसने 14 अगस्त को लाइटस्पीड कैश डेवलपमेंट टीम से संपर्क किया था। पैच 16 अगस्त को जारी किया गया और 10 अक्टूबर को वर्डप्रेस के लिए जारी किया गया। इस सुरक्षा खामी को पूरी तरह से ठीक करने के लिए अब उपयोगकर्ताओं को लाइटस्पीड कैश को 5.7 संस्करण में अपडेट करना होगा। हालाँकि यह खतरनाक है, वर्डफ़ेंस फ़ायरवॉल की अंतर्निहित क्रॉस-साइट स्क्रिप्टिंग सुरक्षा सुविधा ने इस शोषण को रोकने में मदद की है।