வேர்ட்பிரஸ் குவோல் விருந்தினர் புத்தகம் வலுவான சான்றுகள் மற்றும் ஸ்னாஸி வரைபடங்கள் செருகுநிரல்கள் எக்ஸ்எஸ்எஸ் தாக்குதலுக்கு பாதிக்கப்படக்கூடியவை

செய்தி
பாதுகாப்பு / வேர்ட்பிரஸ் குவோல் விருந்தினர் புத்தகம் வலுவான சான்றுகள் மற்றும் ஸ்னாஸி வரைபடங்கள் செருகுநிரல்கள் எக்ஸ்எஸ்எஸ் தாக்குதலுக்கு பாதிக்கப்படக்கூடியவை 2 நிமிடங்கள் படித்தேன்

வேர்ட்பிரஸ். ஆர்டர்லேண்ட்



என்விடியா இயக்கி இந்த விண்டோஸ் பதிப்போடு பொருந்தவில்லை

மூன்று வேர்ட்பிரஸ் செருகுநிரல்களில் ஒரு குறுக்கு தள ஸ்கிரிப்டிங் (எக்ஸ்எஸ்எஸ்) பாதிப்பு கண்டுபிடிக்கப்பட்டது: க்வோல் விருந்தினர் புத்தகம் சிஎம்எஸ் சொருகி, வலுவான சான்றுகள் சொருகி மற்றும் ஸ்னாஸி வரைபடங்கள் சொருகி, டிஃபென்ச்கோட் தண்டர்ஸ்கானுடன் கணினியின் வழக்கமான பாதுகாப்பு சோதனையின் போது. குவோல் விருந்தினர் புத்தக சொருகி 40,000 க்கும் மேற்பட்ட செயலில் உள்ள நிறுவல்கள், வலுவான சான்றுகள் சொருகி 50,000 க்கும் மேற்பட்ட செயலில் உள்ள நிறுவல்கள் மற்றும் ஸ்னாஸி வரைபட சொருகி 60,000 க்கும் மேற்பட்ட செயலில் உள்ள நிறுவல்களுடன், குறுக்கு தள ஸ்கிரிப்டிங் பாதிப்பு பயனர்களை நிர்வாகி அணுகலை வழங்குவதற்கான ஆபத்தை ஏற்படுத்துகிறது தீங்கிழைக்கும் தாக்குபவர், மற்றும் முடிந்ததும், தீங்கிழைக்கும் குறியீட்டை பார்வையாளர்களுக்கும் பார்வையாளர்களுக்கும் மேலும் பரப்புவதற்கு தாக்குபவருக்கு இலவச பாஸை வழங்குகிறார். இந்த பாதிப்பு டிஃபென்ச்கோட் ஆலோசனை ஐடிகளின் கீழ் ஆராயப்பட்டுள்ளது DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (முறையே) மற்றும் மூன்று முனைகளிலும் நடுத்தர அச்சுறுத்தலை ஏற்படுத்த தீர்மானிக்கப்பட்டுள்ளது. பட்டியலிடப்பட்ட வேர்ட்பிரஸ் செருகுநிரல்களில் இது PHP மொழியில் உள்ளது, மேலும் இது குவோல் விருந்தினர் புத்தகத்திற்கான v2.5.3, வலுவான சான்றுகளுக்கு v2.31.4 மற்றும் ஸ்னாஸி வரைபடங்களுக்கான v1.1.3 உள்ளிட்ட அனைத்து செருகுநிரல்களையும் பாதிக்கும் என்று கண்டறியப்பட்டுள்ளது.

தீங்கிழைக்கும் தாக்குபவர் URL ஐக் கொண்ட ஜாவாஸ்கிரிப்ட் குறியீட்டை கவனமாக வடிவமைத்து, வேர்ட்பிரஸ் நிர்வாகி கணக்கை அந்த முகவரியுடன் இணைப்பதில் கையாளும் போது குறுக்கு தள ஸ்கிரிப்டிங் பாதிப்பு சுரண்டப்படுகிறது. நிர்வாகி ஒரு மின்னஞ்சல், இடுகை அல்லது அணுகக்கூடிய ஒரு மன்ற விவாதத்தின் மூலம் அல்லது அதன் மூலம் கிளிக் செய்ய ஆசைப்படுவதாக தளத்தில் இடுகையிடப்பட்ட ஒரு கருத்தின் மூலம் இதுபோன்ற கையாளுதல் ஏற்படலாம். கோரிக்கை முடிந்ததும், மறைக்கப்பட்ட தீங்கிழைக்கும் குறியீடு இயக்கப்பட்டு, அந்த பயனரின் வேர்ட்பிரஸ் தளத்தின் முழுமையான அணுகலைப் பெற ஹேக்கர் நிர்வகிக்கிறார். தளத்தின் திறந்த இறுதி அணுகலுடன், தளத்தின் பார்வையாளர்களுக்கும் தீம்பொருளைப் பரப்புவதற்கு ஹேக்கர் இதுபோன்ற தீங்கிழைக்கும் குறியீடுகளை தளத்தில் உட்பொதிக்க முடியும்.



பாதிப்பு ஆரம்பத்தில் ஜூன் முதல் டிஃபென்ஸ் கோட் மூலம் கண்டுபிடிக்கப்பட்டது மற்றும் 4 நாட்களுக்குப் பிறகு வேர்ட்பிரஸ் தகவல் தெரிவிக்கப்பட்டது. ஒரு தீர்வைக் கொண்டு வருவதற்கு விற்பனையாளருக்கு நிலையான 90 நாள் வெளியீட்டு காலம் வழங்கப்பட்டது. விசாரணையில், பாதிப்பு எதிரொலி () செயல்பாட்டில் இருப்பதும், குறிப்பாக குவோல் விருந்தினர் புத்தக சொருகிக்கான $ _SERVER ['PHP_SELF'] மாறி, வலுவான சான்றுகள் சொருகி $ _REQUEST ['ஐடி'] மாறி, மற்றும் ஸ்னாஸி வரைபட சொருகி $ _GET ['உரை'] மாறி. இந்த பாதிப்புக்கான ஆபத்தைத் தணிக்க, மூன்று செருகுநிரல்களுக்கான புதுப்பிப்புகள் வேர்ட்பிரஸ் மூலம் வெளியிடப்பட்டுள்ளன, மேலும் பயனர்கள் தங்கள் செருகுநிரல்களை முறையே கிடைக்கக்கூடிய சமீபத்திய பதிப்புகளுக்கு புதுப்பிக்குமாறு கேட்டுக்கொள்ளப்படுகிறார்கள்.