वर्डप्रेस समुदाय एक बार फिर चिंता जता रहा है क्योंकि व्यापक रूप से उपयोग किए जाने वाले प्लगइन्स में दो कमजोरियाँ जिससे हज़ारों वेबसाइटों की सुरक्षा ख़तरे में पड़ सकती है। इनमें से एक कमज़ोरी एंटी-मैलवेयर सिक्योरिटी और ब्रूट-फ़ोर्स फ़ायरवॉल प्लगइन को प्रभावित करती है; दूसरी, एलिमेंटर के लिए लोकप्रिय किंग ऐडऑन्स पैकेज को प्रभावित करती है।
दोनों मामलों में, अद्यतन अब उपलब्ध हैं। और विशेषज्ञ इन्हें बिना देर किए इंस्टॉल करने की सलाह देते हैं। हर प्लगइन का असर अलग-अलग होता है, लेकिन उनमें एक समानता है: हमलावर सर्वर संसाधनों तक अनधिकृत पहुँच प्राप्त कर सकते हैं या साइट का नियंत्रण अपने हाथ में लें यदि पैच नहीं लगाए गए हैं।
एंटी-मैलवेयर सुरक्षा और ब्रूट-फोर्स फ़ायरवॉल: फ़ाइल रीडिंग (CVE-2025-11705)
एंटी-मैलवेयर सुरक्षा प्लगइन, जिसके 100.000 से अधिक इंस्टॉलेशन हैं, एक भेद्यता से ग्रस्त है जिसे ट्रैक किया गया है सीवीई‑2025‑11705 जो एक प्रमाणित उपयोगकर्ता को, यहाँ तक कि सब्सक्राइबर प्रोफ़ाइल वाले उपयोगकर्ता को भी, सर्वर से फ़ाइलें पढ़ने की अनुमति देता है। समस्या की जड़ आंतरिक कार्य में निहित है GOTMLS_ajax_scan()जहां AJAX अनुरोधों को संसाधित करते समय पर्याप्त क्षमता सत्यापन का अभाव था।
शोधकर्ता द्वारा इस कमजोरी की पहचान की गई। दिमित्री इग्नाटयेव और वर्डफ़ेंस थ्रेट इंटेलिजेंस को रिपोर्ट किया गया। टोकन (नॉन-वन्स) प्रबंधन के कारण, अनुमति नियंत्रण का अभाववैध लॉगिन वाला कोई भी खाता स्कैन को लागू कर सकता है और संवेदनशील सामग्री तक पहुंच सकता है।
सबसे आकर्षक लक्ष्यों में से एक है wp-config.phpयह फ़ाइल डेटाबेस क्रेडेंशियल और प्रमाणीकरण कुंजियाँ संग्रहीत करती है। इस जानकारी के साथ, कोई हमलावर निम्नलिखित कार्य कर सकता है: डेटा को बाहर निकालना, सामग्री में हेरफेर करना या उसी बुनियादी ढांचे के भीतर नए कदम उठाने का प्रयास करें।
प्लगइन डेवलपर, जिसे के रूप में जाना जाता है एली, ने संशोधित संस्करण 4.23.83 जारी किया, जो फ़ंक्शन जोड़ता है GOTMLS_kill_invalid_user() अनुरोधों को संसाधित करने से पहले क्षमताओं को सत्यापित करने के लिए। वर्डफ़ेंस ने संकेत दिया कि, फिलहाल, कोई सक्रिय हमला नहीं देखा गया हैहालाँकि, यदि निर्णय को अद्यतन नहीं किया जाता है तो प्रकाशन से शोषण का खतरा बढ़ जाता है।
- अक्टूबर 14: वर्डप्रेस.ऑर्ग सुरक्षा टीम के माध्यम से डेवलपर को अधिसूचना।
- अक्टूबर 15: उन्नत क्षमता नियंत्रण के साथ संस्करण 4.23.83 जारी किया गया।
- पैच डाउनलोड: लगभग 50.000 इंस्टॉलेशन अपडेट किए गए हैं; यदि फिक्स लागू नहीं किया गया तो इतनी ही मात्रा उजागर रह सकती है।
आक्रमण वेक्टर विशेष रूप से उन साइटों में प्रासंगिक है उपयोगकर्ता पंजीकरण खुला (फोरम, सदस्यता, समाचार पत्र, आदि), जहां न्यूनतम अनुमतियों के साथ खाते बनाने के लिए प्रवेश की बाधा बहुत कम है।
एलिमेंटर के लिए किंग ऐडऑन: फ़ाइल अपलोड और विशेषाधिकार वृद्धि
वाणिज्यिक ऐड-ऑन किंग ऐडऑन्स —जो विजेट्स और टेम्प्लेट्स के साथ एलिमेंटर का विस्तार करता है— पैचस्टैक द्वारा प्रलेखित दो महत्वपूर्ण खामियां प्रस्तुत करता है: प्रमाणीकरण के बिना मनमाना फ़ाइल लोडिंग (सीवीई‑2025‑6327(गंभीरता 10/10) और विशेषाधिकारों में वृद्धि पंजीकरण का अंतिम बिंदु (सीवीई‑2025‑6325, गंभीरता 9,8/10)।
परामर्श के अनुसार, दोनों कमजोरियां सामान्य कॉन्फ़िगरेशन में आसानी से उपयोग योग्य और इससे पूरी साइट पर कब्ज़ा हो सकता है या डेटा चोरी हो सकता है। निर्माता ने संस्करण प्रकाशित किया 51.1.37, जो अनुमत भूमिकाओं की एक सूची, इनपुट सैनिटाइजेशन और एक लोड प्रबंधक प्रस्तुत करता है जिसके लिए उचित अनुमतियों की आवश्यकता होती है और सख्ती से मान्य फ़ाइल प्रकार.
10.000 से ज़्यादा सक्रिय इंस्टॉलेशन के साथ, किंग ऐडऑन्स का इस्तेमाल पेज डिज़ाइन को तेज़ बनाने के लिए किया जाता है। यही वजह है कि, जितनी जल्दी हो सके पैच लगाएं यह दुर्भावनापूर्ण व्यक्तियों को खतरनाक फ़ाइलें अपलोड करने से रोकने या उन खातों को विशेषाधिकार देने से रोकने के लिए महत्वपूर्ण है जिनके पास आवश्यकता से अधिक अनुमतियाँ हैं।
यदि आप अपडेट नहीं करते हैं तो हमलावर क्या हासिल कर सकता है?
वर्णित खामियों के साथ, एक विरोधी एक साथ कई कदम उठा सकता है जानकारी का मौन वाचन साइट का नियंत्रण अपने हाथ में लेने तक। उपयोगकर्ता द्वारा अपलोड किए गए कॉन्फ़िगरेशन, डेटाबेस या निर्देशिकाओं तक पहुँचने से कई संभावनाएँ खुल जाती हैं।
- पासवर्ड हैश चुराना और ऑफ़लाइन क्रूर-बल हमले शुरू करें।
- व्यक्तिगत डेटा निकालें (ईमेल, प्रोफाइल) संभावित गोपनीयता निहितार्थ के साथ।
- इनपुट संशोधित करें या कोड डालें स्पैम या मैलवेयर वितरित करने के लिए।
- पीछे के दरवाजे स्थापित करें आंशिक सफाई के बाद भी बनी रहती है।
- पार्श्व गति एक ही सर्वर पर अन्य साइटों के लिए साझा होस्टिंग में।
स्पेन और शेष यूरोपीय संघ पर प्रभाव और दायित्व
स्पेन या यूरोपीय संघ में स्थित प्रशासकों के लिए, व्यक्तिगत डेटा का उल्लंघन निम्नलिखित के तहत दायित्वों को ट्रिगर कर सकता है: RGPDप्रभाव आकलन और, जहाँ उपयुक्त हो, प्राधिकारियों और उपयोगकर्ताओं को सूचनाएँ देना शामिल है। आंतरिक नीतियों की समीक्षा की जानी चाहिए और गतिविधि लॉग यदि अनधिकृत पहुंच का संदेह है, और पुष्टि करें कि क्या आपकी साइट WordPress.org या WordPress.com.
नाटकीयता के बिना, लेकिन विवेक के साथ, उन साइटों को प्राथमिकता देना समझदारी है खाता पंजीकरण या निजी क्षेत्रों में, क्योंकि एंटी-मैलवेयर विफलता में प्रमाणीकरण की आवश्यकता कई पोर्टलों पर बहुत ही बुनियादी प्रोफाइल के साथ पूरी होती है।
प्रशासकों के लिए अनुशंसित कार्यवाहियाँ
सबसे पहले एंटी-मैलवेयर को 4.23.83 पर अपडेट करता है और 51.1.37 पर किंग ऐडऑन। यह चरण ज्ञात वेक्टर्स को मूल में ही काट देता है और हमले की सतह को तुरंत कम कर देता है।
- सत्र रद्द करता है और पैच के बाद टोकन, विशेष रूप से खुले पंजीकरण वाली साइटों पर।
- समीक्षा लॉग असामान्य गतिविधि की तलाश में पहुंच और फ़ाइल अपलोड की जांच की जा रही है।
- परमिट कड़े किए गए यदि आवश्यक न हो तो उपयोगकर्ताओं का पंजीकरण अक्षम कर देता है।
- निष्पादन को प्रतिबंधित करता है अपलोड निर्देशिकाओं में और सर्वर पर MIME प्रकारों को मान्य करें।
- बैकअप सत्यापित और अद्यतन घटना प्रतिक्रिया योजना।
इसके अतिरिक्त, यह निगरानी समाधान (WAF, ब्लॉकलिस्ट, वास्तविक समय अलर्ट) और नीतियों का आकलन करता है न्यूनतम विशेषाधिकार प्रशासन खातों और बाहरी सेवाओं के लिए।
स्थिर छवि स्पष्ट है: पैच उपलब्ध होने के साथ, सबसे अच्छा बचाव अभी अपडेट करना हैतत्परता से कार्य करना, रिकार्ड की जांच करना, तथा नियंत्रण को मजबूत करना, भय और अधिक गंभीर घटना के बीच अंतर ला सकता है।
