दो में दोष WordPress के एक हालिया रिपोर्ट के अनुसार, कस्टम प्लग-इन उपयोगकर्ताओं को क्रॉस-साइट स्क्रिप्टिंग हमलों (XSS) के प्रति असुरक्षित बनाता है।
पैचस्टैक शोधकर्ता रफी मुहम्मद ने हाल ही में XSS दोष की खोज की उन्नत कस्टम फ़ील्ड और उन्नत कस्टम फ़ील्ड्स प्रो प्लग-इन, जो दुनिया भर में 2 मिलियन से अधिक उपयोगकर्ताओं द्वारा सक्रिय रूप से इंस्टॉल किए गए हैं ब्लिपिंग कंप्यूटर.
अनुशंसित वीडियो
CVE-2023-30777 नामक दोष 2 मई को खोजा गया था और इसे उच्च गंभीरता वाली प्रमुखता दी गई थी। प्लग-इन के डेवलपर, WP इंजन ने, 4 मई को भेद्यता के बारे में जानने के कुछ ही दिनों के भीतर तुरंत एक सुरक्षा अद्यतन, संस्करण 6.1.6 प्रदान किया।
संबंधित
- इस ट्विटर भेद्यता ने बर्नर खातों के मालिकों का खुलासा किया हो सकता है
- टम्बलर ने वादा किया है कि उसने उस बग को ठीक कर दिया है जिससे उपयोगकर्ता डेटा उजागर हो गया था
प्रसिद्ध कस्टम फ़ील्ड बिल्डर्स उपयोगकर्ताओं को वर्डप्रेस संपादन स्क्रीन, कस्टम फ़ील्ड डेटा और अन्य सुविधाओं के साथ, पीछे के अंत से अपनी सामग्री प्रबंधन प्रणाली का पूर्ण नियंत्रण रखने की अनुमति देता है।
हालाँकि, XSS बग्स को सामने से देखा जा सकता है और वे "दुर्भावनापूर्ण स्क्रिप्ट्स" को इंजेक्ट करके काम करते हैं। अन्य लोगों द्वारा देखी गई वेबसाइटें, जिसके परिणामस्वरूप विज़िटर के वेब ब्राउज़र पर कोड का निष्पादन होता है," ब्लीपिंग कंप्यूटर जोड़ा गया.
पैचस्टैक ने कहा कि इससे वेबसाइट आगंतुकों को संक्रमित वर्डप्रेस साइटों से अपना डेटा चोरी होने का खतरा हो सकता है।
XSS भेद्यता के बारे में विशिष्टताओं से संकेत मिलता है कि इसे "उन्नत कस्टम फ़ील्ड प्लग-इन की डिफ़ॉल्ट स्थापना या कॉन्फ़िगरेशन" द्वारा ट्रिगर किया जा सकता है। हालाँकि, उपयोगकर्ताओं को यह करना होगा शोधकर्ताओं ने कहा कि इसे पहले स्थान पर ट्रिगर करने के लिए एडवांस्ड कस्टम फील्ड्स प्लग-इन तक लॉग-इन एक्सेस का मतलब है कि एक बुरे अभिनेता को दोष को ट्रिगर करने के लिए एक्सेस वाले किसी व्यक्ति को धोखा देना होगा।
CVE-2023-30777 दोष पाया जा सकता है एडमिन_बॉडी_क्लास फ़ंक्शन हैंडलर, जिसमें एक ख़राब अभिनेता दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। विशेष रूप से, यह बग DOM XSS पेलोड को अनुचित रूप से तैयार किए गए कोड में इंजेक्ट करता है, जो कोड के सैनिटाइज़ आउटपुट द्वारा नहीं पकड़ा जाता है, जो एक प्रकार का सुरक्षा उपाय है, जो दोष का हिस्सा है।
संस्करण 6.1.6 पर सुधार प्रस्तुत किया गया एडमिन_बॉडी_क्लास हुक, जो XSS हमले को निष्पादित होने से रोकता है।
के उपयोगकर्ता उन्नत कस्टम फ़ील्ड और उन्नत कस्टम फ़ील्ड्स प्रो प्लग-इन को संस्करण 6.1.6 या बाद के संस्करण में अपग्रेड करना चाहिए। कई उपयोगकर्ता हमले के प्रति संवेदनशील रहते हैं, लगभग 72.1% WordPress.org प्लग-इन उपयोगकर्ताओं के पास संस्करण चल रहे हैं नीचे 6.1. यह उनकी वेबसाइटों को न केवल XSS हमलों के प्रति बल्कि प्रकाशन की अन्य खामियों के प्रति भी संवेदनशील बनाता है कहा।
संपादकों की सिफ़ारिशें
- मैलवेयर लॉन्च करने के लिए हैकर्स नकली वर्डप्रेस DDoS पेजों का उपयोग कर रहे हैं
- आपके लेनोवो लैपटॉप में गंभीर सुरक्षा खामी हो सकती है
अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।
