WordPress
ప్రఖ్యాత వ్యక్తిగత బ్లాగింగ్ మరియు వెబ్సైట్ సృష్టి నిర్వహణ ప్లాట్ఫారమ్లో కమాండ్ ఇంజెక్షన్ దుర్బలత్వం కనుగొనబడింది: WordPress. ప్లెయిన్వ్యూ కార్యాచరణ మానిటర్ WordPress ప్లగిన్ కాంపోనెంట్లో దుర్బలత్వం ఉన్నట్లు కనుగొనబడింది మరియు దీనికి CVE-2018-15877 యొక్క CVE ఐడెంటిఫైయర్ కేటాయించబడింది.
WordPress కోసం ప్లెయిన్వ్యూ కార్యాచరణ మానిటర్ ప్లగ్ఇన్లో కనిపించే కమాండ్ ఇంజెక్షన్ దుర్బలత్వం రిమోట్ అటాకర్ను దూరం నుండి హ్యాక్ చేసిన సిస్టమ్లో ఆదేశాలను అమలు చేసే తీవ్రమైన ప్రమాదానికి దారితీస్తుంది. హానికరమైన ఆదేశాలు ఇంజెక్ట్ చేసిన అనర్హమైన డేటాను సేవ యొక్క స్ట్రీమ్లోకి, ముఖ్యంగా IP పరామితి ద్వారా మరియు activities_overview.php లోకి విసిరివేస్తాయి.
చెప్పిన భాగంలో ఈ కమాండ్ ఇంజెక్షన్ దుర్బలత్వం రిమోట్గా సొంతంగా దోపిడీకి గురికాదు. దురదృష్టవశాత్తు, WordPress లోని ఒకే భాగం ప్లగ్ఇన్ రెండు ఇతర హానిలతో బాధపడుతోంది: CSRF దాడి దుర్బలత్వం మరియు ప్రతిబింబించే క్రాస్ సైట్ స్క్రిప్టింగ్ దుర్బలత్వం. ఈ మూడు దుర్బలత్వాలు కలిసి దోపిడీకి పాల్పడినప్పుడు, దాడి చేసేవాడు మరొక యూజర్ సిస్టమ్లో ఆదేశాలను రిమోట్గా అమలు చేయగలడు, వినియోగదారు యొక్క ప్రైవేట్ డేటాకు అనవసరమైన మరియు అనధికార ప్రాప్యతను ఇస్తాడు.
WordPress విడుదల చేసిన పరిశోధన వివరాల ప్రకారం, దుర్బలత్వం మొదట 25 న కనుగొనబడిందివఈ సంవత్సరం ఆగస్టు. అదే రోజు ఒక CVE ఐడెంటిఫైయర్ లేబుల్ అభ్యర్థించబడింది మరియు తరువాత తప్పనిసరి విక్రేత నోటీసులో భాగంగా దుర్బలత్వం మరుసటి రోజు బ్లాగుకు నివేదించబడింది. కాంపోనెంట్ ప్లగ్ ఇన్, వెర్షన్ 20180826 కోసం క్రొత్త సంస్కరణను విడుదల చేయడానికి WordPress త్వరితంగా ఉంది. ఈ కొత్త వెర్షన్ 20161228 మరియు ప్లెయిన్వ్యూ కార్యాచరణ మానిటర్ ప్లగ్ఇన్ యొక్క పాత సంస్కరణల్లో ఉన్నట్లు గుర్తించబడిన దుర్బలత్వాన్ని పరిష్కరిస్తుందని భావిస్తున్నారు.
ఈ దుర్బలత్వం గురించి ఒక పోస్ట్లో పూర్తిగా చర్చించబడింది మరియు వివరించబడింది గిట్హబ్ సంభావ్య పరస్పర సంబంధం ఉన్న దోపిడీకి భావన యొక్క రుజువు కూడా అందించబడుతుంది. ఎదురయ్యే నష్టాలను తగ్గించడానికి, ప్లెయిన్వ్యూ కార్యాచరణ మానిటర్ ప్లగ్ఇన్ యొక్క సరికొత్త సంస్కరణ వారి సిస్టమ్లలో వాడుకలో ఉందని వారి వ్యవస్థలను నవీకరించమని WordPress వినియోగదారులను కోరారు.
టాగ్లు WordPress
