WooCommerce లోగో మూలం - WooCommerce
మీరు ఎప్పుడైనా కామర్స్ వెబ్సైట్ను కలిగి ఉంటే, కామర్స్ వెబ్సైట్లకు ప్రసిద్ధ ప్లగ్ఇన్ అయిన WooCommerce గురించి మీరు తప్పక విన్న శాతం శాతం సంభావ్యత ఉంది. ఇంటర్నెట్లో 35% పైగా కామర్స్ వెబ్సైట్లను శక్తివంతం చేస్తుంది మరియు 4 మిలియన్లకు పైగా ఇన్స్టాలేషన్లతో, WooCommerce వారి స్వంత ఆన్లైన్ స్టోర్ కలిగి ఉండాలని చూస్తున్న వినియోగదారులకు అత్యంత విశ్వసనీయ ప్లగిన్లలో ఒకటి. మీరు WooCommerce ప్లగ్ఇన్ వినియోగదారు అయితే, మీరు తప్పక చూడవలసిన కొన్ని ముఖ్యమైన వార్తలు ఉన్నాయి.
సాంకేతికతలు
RIPS టెక్నాలజీస్ GmbH లో పరిశోధకుడు సైమన్ స్కానెల్, కనుగొన్నారు ప్లగ్ఇన్లో దుర్బలత్వం (క్రెడిట్స్ హ్యాకర్న్యూస్ బ్లాగ్పోస్ట్ను కనుగొనడం కోసం), ఇది నివేదిక హానికరమైన లేదా రాజీపడే ప్రత్యేక వినియోగదారు వెబ్సైట్పై పూర్తి నియంత్రణను పొందడానికి అనుమతిస్తుంది, వారు ప్లగ్ఇన్ యొక్క అన్ప్యాచ్ వెర్షన్ను ఉపయోగిస్తున్నారు. సైమన్ బ్లాగులో దుర్బలత్వం యొక్క వివరణ ఈ క్రింది విధంగా చదువుతుంది:
WordPress హక్కులను నిర్వహించే విధానంలో లోపం WordPress ప్లగిన్లలో ప్రత్యేక హక్కుల పెరుగుదలకు దారితీస్తుంది. ఇది ఉదాహరణకు 4 మిలియన్లకు పైగా సంస్థాపనలతో అత్యంత ప్రాచుర్యం పొందిన ఇ-కామర్స్ ప్లగ్ఇన్ WooCommerce ను ప్రభావితం చేస్తుంది. దుర్బలత్వం అనుమతిస్తుంది దుకాణ నిర్వాహకులు సర్వర్లోని కొన్ని ఫైల్లను తొలగించి, ఆపై ఏదైనా నిర్వాహక ఖాతాను స్వాధీనం చేసుకోవడానికి.
సైమన్ తన బ్లాగ్పోస్ట్లో దోపిడీ గురించి సాంకేతిక వివరాలను వెల్లడించాడు. WordPress స్వయంచాలకంగా “ edit_users నిర్వాహక ఖాతా యొక్క ఆధారాలను సవరించడానికి అనుమతి. కానీ, WooCommerce వంటి ప్లగిన్లు మెటా సామర్థ్యాలను కలిగి ఉంటాయి, ఇవి ఫంక్షన్లుగా అమలు చేయబడతాయి మరియు ప్రస్తుత వినియోగదారు ఆ చర్యను చేయగలరా లేదా అనే దాని రిటర్న్ విలువ నిర్ణయిస్తుంది. ఇది నిర్వాహక ఖాతాలను సవరించకుండా షాప్ నిర్వాహకులను నిరోధిస్తుంది.
లోపం
WordPress ఈ ఖాతా హక్కులను నిర్వహించే విధానం యొక్క ప్రధాన లోపం ఏమిటంటే, ఇచ్చిన ప్లగ్ఇన్ యొక్క మెటా సామర్థ్యాలు ప్లగ్ఇన్ చురుకుగా ఉంటే మాత్రమే అమలు చేయబడతాయి. ఏదైనా అవకాశం ఉంటే, WooCommerce ప్లగ్ఇన్ నిలిపివేయబడితే, అప్పుడు అన్ని వినియోగదారు ఖాతాలు “ edit_users ”అనుమతి నిర్వాహక ఖాతాలతో ఫిడేలు చేయగలదు మరియు అందువల్ల మొత్తం వెబ్సైట్ను స్వాధీనం చేసుకుంటుంది.
అయినప్పటికీ, నిర్వాహకులు మాత్రమే ప్లగిన్లను నిలిపివేయగలరు, WooCommerce లో ఏకపక్ష ఫైల్ తొలగింపు దుర్బలత్వం దుకాణ నిర్వాహకులు సర్వర్లోని ఏదైనా ఫైల్ను వ్రాయగలిగేలా తొలగించడానికి అనుమతిస్తుంది. ఈ హాని WooCommerce ను నిలిపివేయడానికి ఉపయోగపడుతుంది మరియు తద్వారా షాప్ మేనేజర్ ఖాతాలోని అన్ని పరిమితులను వదిలించుకోవచ్చు. WooCommerce యొక్క ప్రధాన ఫైల్ను తొలగించడం ద్వారా,woocommerce.php
, WordPress ప్లగ్ఇన్ను లోడ్ చేయలేకపోతుంది మరియు దానిని నిలిపివేస్తుంది సైమన్ తన బ్లాగులో చెప్పినట్లు.
పరిష్కారం
దుర్బలత్వం చాలా క్లిష్టమైనది అయితే, శుభవార్త అది వెర్షన్ 3.4.6 లో పాచ్ చేయబడింది WooCommerce, గత నెల. మీరు మీ వెబ్సైట్లో WooCommerce ఉపయోగిస్తే, మీరు మీ WooCommerce ప్లగ్ఇన్ మరియు WordPress ను కూడా అప్డేట్ చేయాలని సిఫార్సు చేయబడింది , మీరు పైన పేర్కొన్న దుర్బలత్వాన్ని వదిలించుకోవాలని నిర్ధారించుకోండి.
టాగ్లు భద్రత WordPress