- प्रयोगकर्तालाई अनुमति दिनुहोस्। लगइन गर्नुहोस्
- अनधिकृत ब्याकइन्ड अनुरोधहरू र विशेषाधिकार वृद्धिलाई एक्सपोज्ड नन्स मानहरूले सक्षम पार्छ
- प्रशासकीय विशेषाधिकारहरू प्राप्त भएपछि संवेदनशील प्रयोगकर्ता डेटा खुला हुन्छ
एक महत्वपूर्ण सुरक्षा त्रुटि <लिंक-आनामा व्यापक रूपमा प्रयोग गरिएको डाटा-लाइनमा" href="https://www.techradar.com/best/best-wordpress-plugins" data-url="https://www.techradar.com/best/best-wordpress-plugins" data-hl-processed="none" data-mrf-recirculation="inline-link" data-before-rewrite-localise="https://www.techradar.com/best/best-wordpress-plugins">WordPress प्लगइन ले अप्रमाणित आक्रमणकारीहरूलाई प्रमाणीकरण नियन्त्रणहरू बाइपास गर्न र प्रभावित वेबसाइटहरूमा पूर्ण प्रशासनिक पहुँच प्राप्त गर्न अनुमति दिन्छ।
द भेद्यता, C2020-24 को रूपमा प्रभाव पार्छ, V20-24 को रूपमा प्रभाव पार्छ। दर्ता र सदस्यता प्लगइन, संस्करण 5.1.2 र अघिल्लो।
आक्रमणकारीहरूले त्यसपछि वेबसाइट निर्माणकर्ताहरू।
यी मानहरू निरीक्षण गरेर, आक्रमणकारीहरूले WordPress AJAX अन्त्य बिन्दुलाई लक्षित गरी दुर्भावनापूर्ण अनुरोधहरू निर्माण गर्न सक्छन् /wp-admin/admin-ajax लाई बिना नै। अनुरोध उत्पत्ति वा प्राधिकरण अवस्था।
यसले स्वचालित प्रमाणीकरण र विशेषाधिकार वृद्धिमा परिणाम दिन्छ, जहाँ प्रशासनिक पहुँच कुनै पनि वैध लगइन प्रक्रिया बिना नै दिइन्छ।
सफल शोषणले आक्रमणकारीहरूलाई सम्पूर्ण WordPress वातावरणमा अप्रतिबन्धित प्रशासनिक विशेषाधिकारहरू प्रदान गर्दछ।
यो स्तरको साथमा, आक्रमणकारीहरूले यस स्तरमा पहुँच गर्न सक्छन्। स्वेच्छाचारी कोड कार्यान्वयन गर्न।
तिनीहरूले पत्यारपत्र र कन्फिगरेसन फाइलहरू सहित संवेदनशील प्रयोगकर्ता डेटा पनि पहुँच गर्न सक्छन्।
प्रारम्भिक पत्ता लगाएपछि पनि निरन्तर पहुँच सुनिश्चित गर्न लुकेका प्रशासक खाताहरू सिर्जना गर्न सकिन्छ।
यी आक्रमणकारीहरूले वेबसाइट आगन्तुकहरूलाई फिसिङ पृष्ठहरू वा -id-line=”-id-link=”-in-line” मा रिडिरेक्ट गर्न सक्छन्। href=”https://www.techradar.com/best/best-malware-removal” data-url=”https://www.techradar.com/best/best-malware-removal” data-hl-processed=”none” data-mrf-recirculation=”inline-link” data-before-rewrite-localise=”https://www.techradar.com/best/best-malware-removal”>मालवेयर वितरण साइटहरू।
प्रशासकीय नियन्त्रण स्थापना भएपछि एक पटक वेबसाइट विकृत, सामग्री छेडछाड, र मालिसियस लिपि इन्जेक्सन मामूली हुन्छ। 5.1.2 यस त्रुटिको लागि असुरक्षित छन् – तर मुद्दालाई संस्करण 5.1.3 मा सुधारिएको प्रमाणीकरण र प्राधिकरण संयन्त्रहरू मार्फत सम्बोधन गरिएको छ — त्यसैले वेबसाइट प्रशासकहरूले तुरुन्तै अद्यावधिक गर्नुपर्छ।
अद्यावधिक गरेपछि, प्रशासकहरूले अवस्थित प्रयोगकर्ता खाताहरूको समीक्षा गर्नुपर्छ, विशेष गरी प्रशासकीय विशेषाधिकारहरू भएका, जसले कुनै पनि खाता पहिचान गर्न मद्दत गर्नेछ। प्याचिङ।
संदिग्ध सत्रहरू अमान्य गरिनुपर्छ, र यदि सम्झौताको शंका छ भने प्रमाणहरू रिसेट गर्नुहोस्।
असुरक्षाले 10 मध्ये 9.8 को CVSS v4.0 स्कोर बोक्छ, जसले महत्वपूर्ण गम्भीरतालाई जनाउँछ।
अण्डरग्राउन्डमा सक्रिय चासो देखाउने यो एक्सप्लोममा अवलोकन गरिएको छलफल। कमजोरी।
ह्याकरहरूले पहिले नै शोषण प्रविधिहरू आपसमा साझा गरिरहेका छन् र स्वचालन रणनीतिहरूबारे छलफल गरिरहेका छन्।
प्रारम्भिक पहुँच ब्रोकरहरूले प्रशासनिक पहुँच प्राप्त गर्न र ransomware डिप्लोयमेन्टको लागि यसलाई पुन: बेच्न यो त्रुटिको फाइदा उठाउन सक्छन्, SEO creeping अभियान सञ्चालनहरू।
प्रविधीको शोषण र जनचेतनाको कम जटिलतालाई ध्यानमा राख्दै, प्रभावित प्लगइन चलाउने वेबसाइट मालिकहरूले आफ्नो प्रणालीलाई सक्रिय रूपमा जोखिममा राख्नुपर्छ र तुरुन्तै उपचारलाई प्राथमिकता दिनुपर्छ। class=”van-image-figure pull-right inline-layout” data-bordeaux-image-check=”” id=”elk-932312d9-69b8-4fe4-b17e-261a79f86d2e”>
Google समाचारमा TechRadar फलो गर्नुहोस् र हामीलाई प्राथमिकताको रूपमा थप्नुहोस् //em>प्राथमिकता स्रोतको रूपमा थप्नुहोस् समीक्षाहरू, र तपाईंको फिडहरूमा राय।