सुरक्षा खामी के कारण 40 लाख वर्डप्रेस वेबसाइटें खतरे में

अपने ब्लॉग पर लिखते हुए, वर्डफ़ेंस ख़तरा खुफिया टीम ने कहा कि उसने लाइटस्पीड कैश प्लगइन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का ज़िम्मेदारी से खुलासा किया है। लाइटस्पीड कैश प्लगइन एक लोकप्रिय ऐड-ऑन है जो 40 लाख से ज़्यादा वर्डप्रेस वेबसाइटों पर इंस्टॉल है। यह भेद्यता योगदानकर्ता विशेषाधिकारों वाले हैकर्स को शॉर्टकोड का इस्तेमाल करके दुर्भावनापूर्ण स्क्रिप्ट डालने की अनुमति देती है।

लाइटस्पीड कैश एक प्लगइन है जो कैशिंग और सर्वर-स्तरीय अनुकूलन के साथ वर्डप्रेस वेबसाइटों की गति बढ़ाता है। यह प्लगइन एक शॉर्टकोड प्रदान करता है जिसका उपयोग वर्डप्रेस में जोड़े जाने पर एज साइड तकनीक का उपयोग करके ब्लॉक को कैश करने के लिए किया जा सकता है।

हालाँकि, वर्डफ़ेंस ने कहा कि प्लगइन का शॉर्टकोड कार्यान्वयन असुरक्षित था, जिससे इन पृष्ठों में मनमाने स्क्रिप्ट डाले जा सकते थे। असुरक्षित कोड की जाँच से पता चला कि शॉर्टकोड विधि इनपुट और आउटपुट की पर्याप्त जाँच नहीं करती थी। इससे ख़तरा पैदा करने वाले को XSS हमले करने का मौका मिल गया। एक बार किसी पृष्ठ या पोस्ट में डालने के बाद, स्क्रिप्ट हर बार जब कोई उपयोगकर्ता उस पर जाता, तो निष्पादित होती।

जबकि इस भेद्यता के लिए एक समझौता किए गए योगदानकर्ता खाते या उपयोगकर्ता को योगदानकर्ता के रूप में पंजीकृत करने की आवश्यकता होती है, वर्डफ़ेंस का कहना है कि एक हमलावर संवेदनशील जानकारी चुरा सकता है, वेबसाइट की सामग्री में हेरफेर कर सकता है, प्रशासकों पर हमला कर सकता है, फ़ाइलों को संपादित कर सकता है, या आगंतुकों को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है।

वर्डफ़ेंस ने कहा कि उसने 14 अगस्त को लाइटस्पीड कैश डेवलपमेंट टीम से संपर्क किया। पैच 16 अगस्त को जारी किया गया और 10 अक्टूबर को वर्डप्रेस के लिए जारी किया गया। इस सुरक्षा खामी को पूरी तरह से ठीक करने के लिए अब उपयोगकर्ताओं को लाइटस्पीड कैश को 5.7 संस्करण में अपडेट करना होगा। हालाँकि यह खतरनाक था, वर्डफ़ेंस फ़ायरवॉल की अंतर्निहित क्रॉस-साइट स्क्रिप्टिंग सुरक्षा सुविधा ने इस शोषण को रोकने में मदद की।