నిర్వహణ మరియు నిర్వహణ కార్యకలాపాలతో వెబ్సైట్ నిర్వాహకులకు సహాయపడే ప్రసిద్ధ WordPress ప్లగ్ఇన్ చాలా ఉంది దోపిడీకి గురయ్యే అవకాశం ఉంది . సులభంగా తారుమారు చేయబడి, ప్లగ్ఇన్ పూర్తి వెబ్సైట్ను క్రియారహితంగా చేయడానికి ఉపయోగించవచ్చు లేదా దాడి చేసేవారు నిర్వాహక అధికారాలతో దాన్ని స్వాధీనం చేసుకోవచ్చు. జనాదరణ పొందిన WordPress ప్లగిన్లోని భద్రతా లోపం ‘క్రిటికల్’ అని ట్యాగ్ చేయబడింది మరియు అత్యధిక CVSS స్కోర్లలో ఒకటిగా గుర్తించబడింది.
అధీకృత నిర్వాహకుల నుండి కనీస పర్యవేక్షణతో ఒక WordPress ప్లగిన్ ఉపయోగించబడుతుంది. దుర్బలత్వం డేటాబేస్ విధులను పూర్తిగా అసురక్షితంగా వదిలివేస్తుంది. దీని అర్థం ఏ యూజర్ అయినా వారు కోరుకున్న డేటాబేస్ పట్టికలను ప్రామాణీకరణ లేకుండా రీసెట్ చేయవచ్చు. జోడించాల్సిన అవసరం లేదు, దీని అర్థం పోస్ట్లు, వ్యాఖ్యలు, మొత్తం పేజీలు, వినియోగదారులు మరియు వారి అప్లోడ్ చేసిన కంటెంట్ సెకన్ల వ్యవధిలో సులభంగా తుడిచివేయబడుతుంది.
బ్లాగు ప్లగిన్ ‘డబ్ల్యుపి డేటాబేస్ రీసెట్’ వెబ్సైట్ టేకోవర్ లేదా తొలగింపు కోసం సులువుగా దోపిడీకి మరియు తారుమారుకి గురవుతుంది:
పేరు సూచించినట్లుగా, డేటాబేస్లను రీసెట్ చేయడానికి WP డేటాబేస్ రీసెట్ ప్లగిన్ ఉపయోగించబడుతుంది. వెబ్సైట్ నిర్వాహకులు పూర్తి లేదా పాక్షిక రీసెట్ మధ్య ఎంచుకోవచ్చు. వారు నిర్దిష్ట పట్టికల ఆధారంగా రీసెట్ చేయడానికి కూడా ఆర్డర్ చేయవచ్చు. ప్లగ్ఇన్ యొక్క అతిపెద్ద ప్రయోజనం సౌలభ్యం. ప్లగిన్ ప్రామాణిక WordPress సంస్థాపన యొక్క శ్రమించే పనిని నివారిస్తుంది.
WordPress ప్లగ్ఇన్ WP డేటాబేస్ రీసెట్ హాని కలిగించే వెబ్సైట్లను స్వాధీనం చేసుకోవడానికి దోపిడీకి గురిచేసే భద్రతా సమస్యను కలిగి ఉన్నట్లు కనుగొనబడింది. ప్రకారంగా #WordPress లైబ్రరీ, ప్లగ్ఇన్ 80,000 వెబ్సైట్లలో చురుకుగా ఉంది. ఈ రోజు ప్లగ్ఇన్ను నవీకరించండి. https://t.co/xrCjyVPvzY
- విజిలెంట్ టెక్నాలజీస్ (ig విజిలెంట్క్లౌడ్) జనవరి 17, 2020
ది వర్డ్ఫెన్స్ భద్రతా బృందం , ఇది లోపాలను వెలికితీసింది, జనవరి 7 న WP డేటాబేస్ రీసెట్ ప్లగిన్లో రెండు తీవ్రమైన దుర్బలత్వం కనుగొనబడిందని సూచించింది.
మొదటి దుర్బలత్వం ఇలా ట్యాగ్ చేయబడింది CVE-2020-7048 మరియు CVSS స్కోరు 9.1 ను జారీ చేసింది. డేటాబేస్ రీసెట్ ఫంక్షన్లలో ఈ లోపం ఉంది. స్పష్టంగా, ఏ తనిఖీలు, ప్రామాణీకరణ లేదా అధికారాల ధృవీకరణ ద్వారా ఏ విధులు భద్రపరచబడలేదు. దీని అర్థం ఏ యూజర్ అయినా వారు కోరుకున్న డేటాబేస్ పట్టికలను ప్రామాణీకరణ లేకుండా రీసెట్ చేయవచ్చు. వినియోగదారు కేవలం WP డేటాబేస్ రీసెట్ ప్లగిన్ కోసం ఒక సాధారణ కాల్ అభ్యర్థనను చేయవలసి ఉంది మరియు పేజీలు, పోస్ట్లు, వ్యాఖ్యలు, వినియోగదారులు, అప్లోడ్ చేసిన కంటెంట్ మరియు మరెన్నో సమర్థవంతంగా తుడిచిపెట్టగలదు.
https://t.co/zcP3OPb8N5
- గీక్వైర్ సెక్యూరిటీ (ek గీక్వైర్సెక్) జనవరి 17, 2020
రెండవ భద్రతా దుర్బలత్వం ట్యాగ్ చేయబడింది CVE-2020-7047 మరియు CVSS స్కోరు 8.1 ను జారీ చేసింది. మొదటిదానికంటే కొంచెం తక్కువ స్కోరు ఉన్నప్పటికీ, రెండవ లోపం సమానంగా ప్రమాదకరం. ఈ భద్రతా లోపం ఏ ప్రామాణీకరించిన వినియోగదారుని అయినా తమకు దేవుని-స్థాయి పరిపాలనా అధికారాలను ఇవ్వడమే కాకుండా “మిగతా వినియోగదారులందరినీ సాధారణ అభ్యర్థనతో పట్టిక నుండి వదలండి.” ఆశ్చర్యకరంగా, వినియోగదారు యొక్క అనుమతి స్థాయి పట్టింపు లేదు. దీని గురించి మాట్లాడుతూ, వర్డ్ఫెన్స్ క్లో చాంబర్ల్యాండ్,
“Wp_users పట్టిక రీసెట్ చేయబడినప్పుడల్లా, ఇది ప్రస్తుతం లాగిన్ అయిన యూజర్ మినహా, ఏదైనా నిర్వాహకులతో సహా, వినియోగదారు పట్టిక నుండి వినియోగదారులందరినీ వదిలివేసింది. అభ్యర్థనను పంపే వినియోగదారు వారు చందాదారులే అయినప్పటికీ స్వయంచాలకంగా నిర్వాహకుడికి పెరుగుతారు. ”
https://t.co/tjKkqkNEsR
- గీక్వైర్ సెక్యూరిటీ (ek గీక్వైర్సెక్) జనవరి 17, 2020
ఏకైక నిర్వాహకుడిగా, వినియోగదారు తప్పనిసరిగా హాని కలిగించే వెబ్సైట్ను హైజాక్ చేయవచ్చు మరియు కంటెంట్ మేనేజ్మెంట్ సిస్టమ్ (CMS) పై పూర్తి నియంత్రణను పొందవచ్చు. భద్రతా పరిశోధకుల అభిప్రాయం ప్రకారం, WP డేటాబేస్ రీసెట్ ప్లగ్ఇన్ యొక్క డెవలపర్ అప్రమత్తం అయ్యారు, మరియు దుర్బలత్వాల కోసం ఒక పాచ్ ఈ వారం మోహరించాల్సి ఉంది.
WP డేటాబేస్ రీసెట్ ప్లగ్ఇన్ యొక్క తాజా వెర్షన్, పాచెస్ చేర్చబడినది, 3.15. తీవ్రమైన భద్రతా ప్రమాదం మరియు శాశ్వత డేటా తొలగింపు యొక్క అధిక అవకాశాలు ఉన్నందున, నిర్వాహకులు ప్లగ్ఇన్ను నవీకరించాలి లేదా దాన్ని పూర్తిగా తొలగించాలి. నిపుణుల అభిప్రాయం ప్రకారం, సుమారు 80,000 వెబ్సైట్లలో WP డేటాబేస్ రీసెట్ ప్లగిన్ వ్యవస్థాపించబడింది మరియు చురుకుగా ఉంది. అయితే, ఈ వెబ్సైట్లలో 5 శాతం కంటే కొంచెం ఎక్కువ అప్గ్రేడ్ చేసినట్లు తెలుస్తోంది.
టాగ్లు సైబర్ భద్రతా WordPress