ورڈپریس پلین ویو ایکویٹیویٹی مانیٹر v20161228 اور اس سے پہلے ملنے والی کمانڈ انجکشن کی خرابی

ورڈپریس

ورڈپریس: مشہور ذاتی بلاگنگ اور ویب سائٹ بنانے کے انتظام کے پلیٹ فارم میں کمانڈ انجکشن کی کمزوری ملی ہے۔ پیلیون ویو ایکویٹی مانیٹر ورڈپریس پلگ ان اجزاء میں یہ خطرہ موجود ہے اور اسے CVE-2018-15877 کا CVE شناخت کار تفویض کیا گیا ہے۔

ورڈپریس کے لئے پلین ویو ایکویٹی مانیٹر پلگ ان میں ملنے والی کمانڈ انجیکشن کی کمزوری اسے دور دراز سے حملہ آور کو پہنچانے کے شدید خطرہ سے پیش کرتی ہے جو دور سے ہی ایک ہیک سسٹم پر عملدرآمد کرنے والی کمانڈوں پر عملدرآمد کرتی ہے۔ بدنیتی پر مبنی کمانڈز سروس کے سلسلے میں ناجائز اعداد و شمار پھینک دیتے ہیں ، خاص طور پر آئی پی پیرامیٹر کے ذریعے اور سرگرمیوں_وریویو ڈاٹ پی پی پی میں۔

مذکورہ جزو میں یہ کمانڈ انجکشن کی کمزوری دور سے خود ہی فائدہ مند نہیں ہے۔ بدقسمتی سے ، ورڈپریس پر ایک ہی جزو پلگ ان دو دیگر کمزوریوں کا شکار ہے: ایک سی ایس آر ایف حملے کا خطرہ ، اور ایک عکاس کراس سائٹ اسکرپٹنگ کا خطرہ۔ جب ان تینوں کمزوریاں مل کر استحصال کرنے کے لئے ایک دوسرے کے ساتھ مل کر کام کریں ، تو حملہ آور صارف کے نجی ڈیٹا تک ناجائز اور غیر مجاز رسائی کی فراہمی کرتے ہوئے دوسرے صارف کے سسٹم پر دور سے احکامات پر عملدرآمد کرنے میں کامیاب ہوتا ہے۔

ورڈپریس کے ذریعہ جاری کردہ تحقیق شدہ تفصیلات کے مطابق ، خطرہ 25 کو پہلی بار پایا گیا^ویںاس سال اگست کا۔ اسی دن ایک سی وی ای شناخت کنندہ لیبل کی درخواست کی گئی تھی اور پھر اگلے دن ورڈپریس کو لازمی طور پر فروخت کنندہ کے نوٹس کے حصے کے طور پر اس خطرے کی اطلاع دی گئی تھی۔ ورڈپریس نے اجزاء پلگ ان ، ورژن 20180826 کے لئے ایک نیا ورژن جاری کرنے کے لئے اپنے پیروں پر تیز رفتار لائی تھی۔ امید کی جاتی ہے کہ یہ نیا ورژن اس خطرے کو حل کرنے کی امید کرے گا جو 2016 20161228 کے ورژن میں موجود تھا اور اس میں پلین ویو ایکویٹی مانیٹر پلگ ان کا قدیم ورژن موجود تھا۔

اس خطرہ کے بارے میں ایک پوسٹ میں پوری طرح سے بحث کی گئی اور بیان کیا گیا گٹ ہب جہاں ممکنہ وابستہ استحصال کے لئے تصور کا ثبوت بھی فراہم کیا گیا ہے۔ لاحق خطرات کو کم کرنے کے لئے ، ورڈپریس صارفین پر زور دیا جاتا ہے کہ وہ اپنے سسٹم کو اپ ڈیٹ کریں کہ ان کے سسٹمز میں پلین ویو ایکویٹی مانیٹر پلگ ان کا تازہ ترین ورژن استعمال میں ہے۔