ورڈپریس پلگ ان ، WooCommerce کی تنقیدی کمزوری میں 3.4.6 اپ ڈیٹ کے ذریعہ

سیکیورٹی / ورڈپریس پلگ ان ، WooCommerce کی تنقیدی کمزوری میں 3.4.6 اپ ڈیٹ کے ذریعہ 2 منٹ پڑھا

WooCommerce لوگو ماخذ - WooCommerce

اگر آپ نے کبھی ای کامرس ویب سائٹ کی ملکیت حاصل کی ہے تو ، وہاں تقریبا cent فیصد امکان موجود ہے کہ آپ نے ای کامرس ویب سائٹوں کے مشہور پلگ ان WooCommerce کے بارے میں سنا ہوگا۔ انٹرنیٹ پر 35 فیصد سے زیادہ ای کامرس ویب سائٹوں پر پاور لگانا ، اور 4 ملین سے زیادہ تنصیبات کے ساتھ ، WooCommerce ان صارفین کے لئے ایک قابل اعتماد پلگ ان میں سے ایک ہے جو آن لائن اسٹور اپنے پاس رکھنا چاہتے ہیں۔ اگر آپ WooCommerce پلگ ان صارف ہیں ، تو پھر کچھ ایسی اہم خبر ہے جس سے آپ کو یاد نہیں کرنا چاہئے۔

تکنیکی

سائمن اسکینیل ، آر آئی پی ایس ٹیکنالوجیز آتم ، کے محقق دریافت کیا پلگ ان میں ایک کمزوری (کریڈٹ کو ہیکر نیوز بلاگ پوسٹ کو تلاش کرنے کے ل)) ، جو مبینہ طور پر کسی بدنیتی پر مبنی یا سمجھوتہ کرنے والے مراعات یافتہ صارف کو ویب سائٹ پر مکمل کنٹرول حاصل کرنے کی اجازت دیتا ہے ، بشرطیکہ وہ پلگ ان کا بے ترتیب ورژن استعمال کررہے ہوں۔ سائمن کے بلاگ میں کمزوری کی تفصیل مندرجہ ذیل ہے:



ورڈپریس کو استحقاق سے نمٹنے کے طریقہ کار میں ایک غلطی ورڈپریس پلگ ان میں استحقاق میں اضافے کا باعث بن سکتی ہے۔ یہ مثال کے طور پر WooCommerce پر اثر انداز ہوتا ہے ، جو 4 ملین سے زیادہ تنصیبات کے ساتھ سب سے مشہور ای کامرس پلگ ان ہے۔ کمزوری کی اجازت دیتا ہے دکان کے مینیجر سرور پر موجود کچھ فائلوں کو حذف کرنا اور پھر کسی بھی ایڈمنسٹریٹر کا اکاؤنٹ سنبھالنا۔



سائمن نے اپنے بلاگ پوسٹ میں استحصال کے بارے میں تکنیکی تفصیلات کے بارے میں مزید انکشاف کیا۔ انہوں نے انکشاف کیا کہ ورڈپریس کس طرح خود کار طریقے سے اکاؤنٹس کو ' edit_users ”ایڈمنسٹریٹر اکاؤنٹ کی سندوں میں بھی ترمیم کرنے کی اجازت۔ لیکن ، WooCommerce جیسے پلگ ان میٹا صلاحیتوں کو شامل کرتے ہیں ، جو افعال کے بطور لاگو ہوتے ہیں ، اور جن کی واپسی کی قیمت یہ فیصلہ کرتی ہے کہ موجودہ صارف اس کارروائی کو انجام دے سکتا ہے یا نہیں۔ یہ شاپ مینیجرز کو ایڈمنسٹریٹر اکاؤنٹس میں ترمیم کرنے سے روکتا ہے۔



دوش

جس طرح سے ورڈپریس ان اکاؤنٹ کے مراعات کو سنبھالتا ہے اس کی سب سے بڑی خرابی یہ ہے کہ دی گئی پلگ ان کی میٹا صلاحیتیں اس وقت پوری ہوجاتی ہیں اگر پلگ ان فعال ہے۔ اگر کسی بھی موقع سے ، WooCommerce پلگ ان غیر فعال ہوجاتا ہے ، تو ' edit_users ”اجازت ایڈمنسٹریٹر کے کھاتوں کو بھی ایڈٹ کرسکے گی ، اور اسی وجہ سے پوری ویب سائٹ کو اپنے پاس لے جائے گی۔

اگرچہ ، صرف منتظمین ہی پلگ انز کو غیر فعال کرسکتے ہیں ، WooCommerce میں من مانی فائل کو حذف کرنے کے خطرے سے دکان کے مینیجرز کو سرور پر موجود کسی بھی فائل کو حذف کرنے کی اجازت ملتی ہے جو قابل تحریر ہے۔ اس خطرے کو WooCommerce کو خود کو غیر فعال کرنے کے لئے استعمال کیا جاسکتا ہے ، اور اس طرح شاپ مینیجر اکاؤنٹ پر موجود تمام پابندیوں سے نجات مل سکتی ہے ، چونکہ “ WooCommerce کی مرکزی فائل کو حذف کرکے ،woocommerce.php، ورڈپریس پلگ ان کو لوڈ کرنے کے قابل نہیں ہوگا اور پھر اسے غیر فعال کردے گا 'جیسا کہ سائمن نے اپنے بلاگ میں کہا ہے۔



حل

اگرچہ خطرے کا مقابلہ کرنا انتہائی ضروری ہے ، لیکن اچھی خبر یہ ہے کہ یہ ہے ورژن 3.4.6 میں پیچ ہے WooCommerce کے ، پچھلے مہینے اگر آپ اپنی ویب سائٹ میں WooCommerce کا استعمال کرتے ہیں ، یہ انتہائی سفارش کی جاتی ہے کہ آپ اپنے WooCommerce پلگ ان کو بھی اپ ڈیٹ کریں اور ورڈپریس بھی خود ، اس بات کو یقینی بنانا کہ آپ مذکورہ خطرے سے نجات پائیں۔

ٹیگز سیکیورٹی ورڈپریس