दिसंबर 2022 से SQL इंजेक्शन हमलों के लिए खुले वर्डप्रेस (WP) इंस्टॉलेशन के लिए तीन लोकप्रिय ईकॉमर्स प्लगइन्स को हटा दिया गया है समझौताव्यवसायों को उनकी वेबसाइटों को संशोधित करने या हटाने वाले खतरे वाले अभिनेताओं से बचाना।
तीन प्रभावित प्लगइन्स, जैसा कि टेनेबल सुरक्षा शोधकर्ता जोशुआ मार्टिनेल द्वारा खोजा गया था (नए टैब में खुलता है) (के जरिए ब्लीपिंग कंप्यूटर (नए टैब में खुलता है)), थे ‘सशुल्क सदस्यता प्रो (नए टैब में खुलता है)‘, एक सदस्यता प्रबंधन उपकरण जो 100,000 से अधिक स्थापनाओं पर सक्रिय है,’आसान डिजिटल डाउनलोड (नए टैब में खुलता है)‘, एक ई-कॉमर्स टूल जो 50,000 से अधिक इंस्टॉलेशन पर सक्रिय है, और’सर्वे मार्कर (नए टैब में खुलता है)‘ (3,000 से अधिक सक्रिय प्रतिष्ठानों के साथ एक बाजार अनुसंधान उपकरण)
SQL इंजेक्शन सुरक्षा दोष हैं जो हमलावरों को डेटाबेस को संशोधित करने के लिए वेबसाइट फॉर्म या URL में डेटा इनपुट करने की अनुमति देते हैं। हमलावर कमजोरियों का उपयोग कर सकते हैं जो SQL इंजेक्शन को वेबसाइटों को संशोधित करने के लिए डिज़ाइन की गई स्क्रिप्ट को इंजेक्ट करने की अनुमति देते हैं, या उनके बैकएंड पर अनधिकृत पहुंच प्राप्त करते हैं।
WordPress एसक्यूएल इंजेक्शन
जबकि सभी वेबसाइटें विकास के दौरान एसक्यूएल इंजेक्शन के लिए कमजोर हो सकती हैं, कई सामान्य प्लगइन्स के साथ स्टॉक किए गए एक लोकप्रिय, केंद्रीकृत प्लेटफॉर्म पर होस्ट किए गए वर्डप्रेस इंस्टॉलेशन, शोषण की तलाश में खतरे वाले अभिनेताओं के लिए एक लोकप्रिय लक्ष्य हैं।
अकेले जनवरी 2023 में, टेकराडार प्रो है की सूचना दी अन्य WP प्लगइन्स की पेशकश पर सीधी बातचीत जावास्क्रिप्ट कोड को निष्पादित करने के लिए तीन वर्षों के दौरान कार्यात्मकता का लाभ उठाया जा रहा है, जो उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करता है, साथ ही साथ इसी तरह का एक और शोषण उपहार कार्ड कार्यक्षमता जोड़ने के लिए प्लग-इन को लक्षित करना ऑनलाइन स्टोर.
शुक्र है, खामियों के प्रकटीकरण और 19 दिसंबर 2022 को मार्टिनेल द्वारा वर्डप्रेस के लिए प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लॉइट्स (PoCs) जारी करने के बाद, प्लगइन्स के डेवलपर्स खामियों को दूर करने के लिए तेजी से चले गए, कुछ ही हफ्तों में फिक्स जारी हो गए। , या दिन भी।
प्लगइन के संस्करण 3.1.2 के हिस्से के रूप में ‘सर्वे मेकर’ के लिए एक फिक्स, 21 दिसंबर को जारी किया गया था। 27 तारीख को ‘पेड मेम्बरशिप प्रो’ संस्करण 2.9.8 में एक सुधार के साथ आया, और संस्करण 3.1.0.4 के भाग के रूप में 5 जनवरी 2023 को ‘आसान डिजिटल डाउनलोड’ का पालन किया गया।
यदि वे पहले से नहीं हैं, तो प्रभावित उपयोगकर्ताओं को सलाह दी जाती है कि वे निकट भविष्य के लिए SQL इंजेक्शन हमलों से खुद को बचाने के लिए इन प्लगइन्स को नवीनतम संस्करणों में अपडेट करें।