নিরাপত্তা ত্রুটির কারণে ২০০,০০০ ওয়ার্ডপ্রেস ওয়েবসাইট ঝুঁকির মুখে

দ্য হ্যাকার নিউজের মতে, CVE-2023-3460 (CVSS স্কোর 9.8) হিসেবে ট্র্যাক করা দুর্বলতাটি আল্টিমেট মেম্বার প্লাগইনের সমস্ত সংস্করণে বিদ্যমান, যার মধ্যে 29 জুন, 2023 তারিখে প্রকাশিত সর্বশেষ সংস্করণ (2.6.6) অন্তর্ভুক্ত রয়েছে।

ওয়ার্ডপ্রেস ওয়েবসাইটে ব্যবহারকারীর প্রোফাইল এবং কমিউনিটি তৈরির জন্য আলটিমেট মেম্বার একটি জনপ্রিয় প্লাগইন। এটি অ্যাকাউন্ট পরিচালনার বৈশিষ্ট্যও প্রদান করে।

WPScan - ওয়ার্ডপ্রেস নিরাপত্তা কোম্পানি বলেছে যে এই নিরাপত্তা ত্রুটিটি এতটাই গুরুতর যে আক্রমণকারীরা প্রশাসনিক সুবিধা সহ নতুন ব্যবহারকারী অ্যাকাউন্ট তৈরি করতে এগুলি ব্যবহার করতে পারে, যার ফলে হ্যাকাররা প্রভাবিত ওয়েবসাইটগুলির উপর সম্পূর্ণ নিয়ন্ত্রণ পায়।

অপব্যবহারের উদ্বেগের কারণে দুর্বলতার বিশদ বিবরণ গোপন রাখা হয়েছে। ওয়ার্ডফেন্সের নিরাপত্তা বিশেষজ্ঞরা বর্ণনা করেছেন যে যদিও প্লাগইনটিতে নিষিদ্ধ কীগুলির একটি তালিকা রয়েছে যা ব্যবহারকারীরা আপডেট করতে পারবেন না, তবুও ফিল্টারগুলিকে বাইপাস করার সহজ উপায় রয়েছে যেমন প্লাগইনের সংস্করণগুলিতে প্রদত্ত মানের মধ্যে স্ল্যাশ বা অক্ষর এনকোডিং ব্যবহার করা।

ক্ষতিগ্রস্ত ওয়েবসাইটগুলিতে ভুয়া অ্যাডমিন অ্যাকাউন্ট যুক্ত হওয়ার খবর প্রকাশের পর নিরাপত্তা ত্রুটিটি প্রকাশ করা হয়। এর ফলে প্লাগইন ডেভেলপাররা ২.৬.৪, ২.৬.৫ এবং ২.৬.৬ সংস্করণে আংশিক সংশোধন প্রকাশ করেছে। আগামী দিনে একটি নতুন আপডেট আশা করা হচ্ছে।

নতুন রিলিজে আলটিমেট মেম্বার জানিয়েছে যে ইউএম ফর্মের মাধ্যমে প্রিভিলেজ এস্কেলেশন দুর্বলতা ব্যবহার করা হয়েছিল, যার ফলে একজন অননুমোদিত ব্যক্তি প্রশাসক-স্তরের ওয়ার্ডপ্রেস ব্যবহারকারী তৈরি করতে পেরেছিলেন। তবে, WPScan উল্লেখ করেছে যে প্যাচগুলি অসম্পূর্ণ ছিল এবং সেগুলি এড়ানোর একাধিক উপায় খুঁজে পেয়েছে, যার অর্থ বাগটি এখনও কাজে লাগানো যেতে পারে।

ওয়েবসাইটের অ্যাডমিন প্যানেলের মাধ্যমে ক্ষতিকারক প্লাগইন এবং থিম আপলোড করার জন্য apads, se_brutal, segs_brutal, wpaddmins, wpengine_backup, এবং wpenginer নামে নতুন অ্যাকাউন্ট নিবন্ধন করার জন্য এই দুর্বলতা ব্যবহার করা হচ্ছে। এই দুর্বলতার জন্য একটি সম্পূর্ণ প্যাচ উপলব্ধ না হওয়া পর্যন্ত আলটিমেট সদস্যদের প্লাগইনগুলি নিষ্ক্রিয় করার পরামর্শ দেওয়া হচ্ছে।