वर्डप्रेस प्लगइन बगसाठी अलर्ट: अँटी-मालवेअर आणि किंग अॅडऑन्स

  • लोकप्रिय वर्डप्रेस प्लगइन्सवर दोन स्वतंत्र भेद्यता परिणाम करतात
  • CVE-2025-11705 प्रमाणित वापरकर्त्यासह सर्व्हरवरून फायली वाचण्याची परवानगी देते
  • किंग अ‍ॅडऑन्समध्ये अनधिकृत फाइल अपलोड आणि विशेषाधिकार वाढण्याची सुविधा आहे.
  • तातडीचे अपडेट्स: अँटी-मालवेअर ४.२३.८३ वर आणि किंग अॅडऑन्स ५१.१.३७ वर
Creativos Online

5 मिनिटे

वर्डप्रेस प्लगइनमधील सुरक्षा त्रुटी

वर्डप्रेस समुदाय पुन्हा एकदा धोक्याची घंटा वाजवत आहे कारण मोठ्या प्रमाणात वापरल्या जाणाऱ्या प्लगइनमधील दोन भेद्यता ज्यामुळे हजारो वेबसाइट्सची सुरक्षितता धोक्यात येऊ शकते. एक भेद्यता अँटी-मालवेअर सिक्युरिटी आणि ब्रूट-फोर्स फायरवॉल प्लगइनवर परिणाम करते; दुसरी, एलिमेंटरसाठी लोकप्रिय किंग अॅडऑन्स पॅकेज.

दोन्ही प्रकरणांमध्ये, अपडेट्स आता उपलब्ध आहेत. आणि तज्ञ त्यांना विलंब न करता स्थापित करण्याची शिफारस करतात. प्रत्येक प्लगइननुसार परिणाम बदलतो, परंतु त्यांच्यात एक समान भाजक आहे: हल्लेखोर सर्व्हर संसाधनांमध्ये अनधिकृत प्रवेश मिळवू शकतात किंवा साइटचा ताबा घ्या जर पॅचेस लावले नाहीत.

अँटी-मालवेअर सुरक्षा आणि ब्रूट-फोर्स फायरवॉल: फाइल वाचन (CVE-2025-11705)

१००,००० हून अधिक इंस्टॉलेशन्स असलेले अँटी-मालवेअर सिक्युरिटी प्लगइन, एका भेद्यतेमुळे ग्रस्त आहे ज्याचा ट्रॅक सीव्हीई-२०२५-२४३१९ जे प्रमाणित वापरकर्त्याला, सबस्क्राइबर प्रोफाइलसह देखील, सर्व्हरवरील फायली वाचण्याची परवानगी देते. समस्येचे मूळ अंतर्गत फंक्शनमध्ये आहे GOTMLS_ajax_scan()जिथे AJAX विनंत्या प्रक्रिया करताना पुरेशी क्षमता पडताळणीचा अभाव होता.

संशोधकाने भेद्यता ओळखली. दिमित्री इग्नाट्येव्ह आणि वर्डफेंस थ्रेट इंटेलिजेंसला कळवले. टोकन (नॉनसे) व्यवस्थापनामुळे, परवानगी नियंत्रणाचा अभाववैध लॉगिन असलेले कोणतेही खाते स्कॅन सुरू करू शकते आणि संवेदनशील सामग्रीमध्ये प्रवेश करू शकते.

सर्वात मोहक लक्ष्यांपैकी एक म्हणजे डब्ल्यू.पी-config.php याही फाइल डेटाबेस क्रेडेन्शियल्स आणि ऑथेंटिकेशन कीज साठवते. या माहितीसह, आक्रमणकर्ता अशा कृती करू शकतो जसे की डेटा बाहेर काढा, सामग्री हाताळा किंवा त्याच पायाभूत सुविधांमध्ये नवीन हालचाली करण्याचा प्रयत्न करा.

प्लगइन डेव्हलपर, ज्याला म्हणून ओळखले जाते एली, सुधारित आवृत्ती 4.23.83 जारी केली, जी फंक्शन जोडते GOTMLS_kill_invalid_user() विनंत्या प्रक्रिया करण्यापूर्वी क्षमता पडताळण्यासाठी. वर्डफेन्सने सूचित केले की, सध्या तरी, कोणतेही सक्रिय हल्ले आढळले नाहीत.तथापि, जर निर्णय अद्ययावत केला नाही तर तो प्रकाशित केल्याने शोषणाचा धोका वाढतो.

  • ऑक्टोबर 14: WordPress.org सुरक्षा टीमद्वारे डेव्हलपरला सूचना.
  • ऑक्टोबर 15: वाढीव क्षमता नियंत्रणांसह आवृत्ती ४.२३.८३ चे प्रकाशन.
  • पॅच डाउनलोड: अंदाजे ५०,००० इंस्टॉलेशन्स अपडेट केले गेले आहेत; जर दुरुस्ती लागू केली नाही तर समान व्हॉल्यूम उघड होऊ शकतो.

हल्ला वेक्टर विशेषतः अशा साइट्समध्ये संबंधित आहे ज्या वापरकर्ता नोंदणी उघडली आहे. (मंच, सदस्यता, वृत्तपत्रे, इ.), जिथे कमीत कमी परवानग्यांसह खाती तयार करण्यासाठी प्रवेशाचा अडथळा खूप कमी आहे.

एलिमेंटरसाठी किंग अ‍ॅडऑन्स: फाइल अपलोड आणि विशेषाधिकार वाढ

व्यावसायिक अ‍ॅड-ऑन किंग अ‍ॅडॉन्स —जे विजेट्स आणि टेम्पलेट्ससह एलिमेंटरचा विस्तार करते— पॅचस्टॅकने दस्तऐवजीकरण केलेल्या दोन गंभीर त्रुटी सादर करते: प्रमाणीकरणाशिवाय अनियंत्रित फाइल लोड करणे (सीव्हीई-२०२५-२४३१९(तीव्रता १०/१०) आणि विशेषाधिकारांमध्ये वाढ नोंदणीचा ​​शेवटचा बिंदू (सीव्हीई-२०२५-२४३१९, तीव्रता ९.८/१०).

सल्लागारानुसार, दोन्ही भेद्यता आहेत सामान्य कॉन्फिगरेशनमध्ये सहजपणे वापरता येणारे आणि त्यामुळे संपूर्ण साइट ताब्यात घेतली जाऊ शकते किंवा डेटा चोरीला जाऊ शकते. निर्मात्याने आवृत्ती प्रकाशित केली 51.1.37, जे परवानगी असलेल्या भूमिकांची यादी, इनपुट सॅनिटायझेशन आणि योग्य परवानग्या आवश्यक असलेल्या लोड मॅनेजरची ओळख करून देते आणि पूर्णपणे वैध फाइल प्रकार.

१०,००० हून अधिक सक्रिय स्थापनांसह, किंग अ‍ॅडऑन्सचा वापर पेज डिझाइनला गती देण्यासाठी केला जातो. म्हणूनच, शक्य तितक्या लवकर पॅच लावा. दुर्भावनापूर्ण घटकांना धोकादायक फाइल्स अपलोड करण्यापासून किंवा त्यांच्याकडे असायला हव्या त्यापेक्षा जास्त परवानग्या असलेल्या खात्यांमध्ये विशेषाधिकार वाढविण्यापासून रोखणे हे महत्त्वाचे आहे.

जर तुम्ही अपडेट केले नाही तर हल्लेखोर काय साध्य करू शकतो?

वर्णन केलेल्या त्रुटींसह, शत्रू खालील पायऱ्या एकत्र साखळीने बांधू शकतो: माहितीचे मूक वाचन साइटचे नियंत्रण घेण्यापर्यंत आणि त्यासह. वापरकर्त्याने अपलोड केलेले कॉन्फिगरेशन, डेटाबेस किंवा निर्देशिका अॅक्सेस केल्याने अनेक शक्यता उघडतात.

  • पासवर्ड हॅश चोरणे आणि ऑफलाइन क्रूर-फोर्स हल्ले सुरू करा.
  • वैयक्तिक डेटा काढा (ईमेल, प्रोफाइल) ज्यांचे गोपनीयतेवर परिणाम होऊ शकतात.
  • इनपुटमध्ये बदल करा किंवा कोड इंजेक्ट करा स्पॅम किंवा मालवेअर वितरित करण्यासाठी.
  • मागील दरवाजे बसवा आंशिक साफसफाईनंतरही टिकून राहणे.
  • बाजूकडील हालचाल त्याच सर्व्हरवरील इतर साइट्सवर शेअर्ड होस्टिंगमध्ये.

स्पेन आणि उर्वरित EU मधील प्रभाव आणि दायित्वे

स्पेन किंवा युरोपियन युनियनमध्ये स्थित प्रशासकांसाठी, वैयक्तिक डेटा उल्लंघनामुळे खालील बंधने येऊ शकतात: आरजीपीडी, ज्यामध्ये प्रभाव मूल्यांकन आणि योग्य असल्यास, अधिकाऱ्यांना आणि वापरकर्त्यांना सूचनांचा समावेश आहे. अंतर्गत धोरणांचा आढावा घेतला पाहिजे आणि क्रियाकलाप नोंदी जर अनधिकृत प्रवेशाचा संशय असेल आणि तुमची साइट आहे का ते तपासा WordPress.org किंवा WordPress.com.

नाट्यमय न होता पण विवेकाने, अशा साइट्सना प्राधान्य देणे शहाणपणाचे आहे ज्या खाते नोंदणी किंवा खाजगी क्षेत्रे, कारण अँटी-मालवेअर अपयशातील प्रमाणीकरण आवश्यकता असंख्य पोर्टलवरील अतिशय मूलभूत प्रोफाइलसह पूर्ण केली जाते.

प्रशासकांसाठी शिफारस केलेल्या कृती

सर्वप्रथम अँटी-मालवेअर ४.२३.८३ वर अपडेट करते आणि किंग अ‍ॅडॉन्स ५१.१.३७ वर. हे पाऊल मुळापासून ज्ञात वेक्टर कापते आणि आक्रमण पृष्ठभाग त्वरित कमी करते.

  • सत्रे रद्द करते आणि पॅच नंतर टोकन, विशेषतः खुल्या नोंदणी असलेल्या साइट्सवर.
  • पुनरावलोकन नोंदी असामान्य क्रियाकलापांच्या शोधात प्रवेश आणि फाइल अपलोडचे.
  • परवानग्या कडक करते वापरकर्त्यांची संख्या कमी करते आणि आवश्यक नसल्यास नोंदणी अक्षम करते.
  • अंमलबजावणी प्रतिबंधित करते अपलोड डायरेक्टरीजमध्ये आणि सर्व्हरवर MIME प्रकार प्रमाणित करा.
  • बॅकअप सत्यापित आणि अद्ययावत घटना प्रतिसाद योजना.

याव्यतिरिक्त, ते देखरेख उपायांचे (WAF, ब्लॉकलिस्ट, रिअल-टाइम अलर्ट) आणि धोरणांचे मूल्यांकन करते किमान विशेषाधिकार प्रशासन खाती आणि बाह्य सेवांसाठी.

स्थिर प्रतिमा स्पष्ट आहे: उपलब्ध पॅचेससह, सर्वोत्तम बचाव म्हणजे आत्ताच अपडेट करणे.काळजीपूर्वक कृती करणे, रेकॉर्ड तपासणे आणि नियंत्रणे मजबूत करणे यामुळे भीती आणि अधिक गंभीर घटनेत फरक होऊ शकतो.

wordpress.com आणि wordpress.org मधील फरक
संबंधित लेख:
wordpress.com आणि wordpress.org मधील फरक