নিউজ

all in one seo scam alert in bangladesh

সম্প্রতি ওয়ার্ডপ্রেস এসইও প্লাগিন all in one seo scam alert in bangladesh এই পোষ্টে অত্র প্লাগিনের একটি Vulnerabilities নিয়ে আলোচনা করবো যা ইতিমধ্যে বিশ্বের লক্ষ লক্ষ ওয়ার্ডপ্রেস ওয়েবসাইটকে প্রভাবিত করেছে।

Vulnerability: Privilege Escalation, SQL Injection

গত সপ্তাহে, অটোম্যাটিক মার্ক মন্টপাসের নিরাপত্তা গবেষক সম্প্রতি ওয়ার্ডপ্রেস ওয়েবসাইটের মালিকদের দ্বারা ব্যবহৃত সবচেয়ে জনপ্রিয় এসইও প্লাগইনগুলির মধ্যে দুটি গুরুতর নিরাপত্তা দুর্বলতা আবিষ্কার করেছেন: অল ইন ওয়ান এসইও৷ প্লাগইনটি তিন মিলিয়নেরও বেশি ওয়েবসাইট দ্বারা ব্যবহৃত হয় এবং যদি প্যাচ না করা হয় তবে ওয়ার্ডপ্রেস ব্যবহারকারীদের জন্য কিছু গুরুতর মাথাব্যথা হতে পারে। তাই all in one seo scam alert in bangladesh নিয়ে আজকের এই পোষ্ট।

বিস্তারিত
উভয় দুর্বলতার জন্য আক্রমণকারীর ওয়েবসাইটে একটি অ্যাকাউন্ট থাকা প্রয়োজন, তবে অ্যাকাউন্টটি গ্রাহকের মতো নিম্ন-স্তরের হতে পারে। ওয়ার্ডপ্রেস ওয়েবসাইটগুলি ডিফল্টরূপে ওয়েবে যে কোনও ব্যবহারকারীকে একটি অ্যাকাউন্ট তৈরি করার অনুমতি দেয়।

ডিফল্টরূপে নতুন অ্যাকাউন্টগুলিকে গ্রাহক হিসাবে স্থান দেওয়া হয় এবং মন্তব্য লেখা ছাড়া অন্য কোনো সুবিধা নেই৷ যাইহোক, কিছু দুর্বলতা, যেমন সবেমাত্র আবিষ্কৃত হওয়া, এই গ্রাহক ব্যবহারকারীদের তাদের উদ্দেশ্যের চেয়ে অনেক বেশি সুবিধা পাওয়ার অনুমতি দেয়। all in one seo scam alert in bangladesh যখন একসাথে শোষণ করা হয়, তখন এই দুটি নিরাপত্তা ছিদ্র একজন আক্রমণকারীকে একটি আনপ্যাচড ওয়ার্ডপ্রেস ওয়েবসাইট দখল করতে দেয়।

প্রমাণীকৃত বিশেষাধিকার বৃদ্ধি
এই প্লাগইনের সাথে পাওয়া প্রথম সমস্যাটি আকর্ষণীয়, এবং শুধুমাত্র একটি অনুরোধের একটি অক্ষর বড় হাতের অক্ষরে পরিবর্তন করে ব্যবহার করা যেতে পারে। এটি All in One SEO এর 4.0.0 এবং 4.1.5.2 সংস্করণকে প্রভাবিত করে৷ এই প্লাগইনটির বেশ কয়েকটি REST API এন্ডপয়েন্টে অ্যাক্সেস রয়েছে, তবে প্রেরিত কোনো কমান্ড কার্যকর করার আগে একটি অনুমতি পরীক্ষা করে।

এটি নিশ্চিত করে যে ব্যবহারকারীর কাছে প্লাগইনকে নির্দেশ কার্যকর করার জন্য যথাযথ অনুমতি রয়েছে। যাইহোক, অল ইন ওয়ান এসইও এই সূক্ষ্ম সত্যটির জন্য দায়ী নয় যে ওয়ার্ডপ্রেস এই REST API রুটগুলিকে কেস-অসংবেদনশীল স্ট্রিং হিসাবে বিবেচনা করে। একটি একক অক্ষরকে বড় হাতের অক্ষরে পরিবর্তন করা হলে তা প্রমাণীকরণ চেকগুলিকে সম্পূর্ণভাবে বাইপাস করবে।

যখন শোষিত হয়, তখন এই দুর্বলতাটি ওয়ার্ডপ্রেস ফাইল কাঠামোর মধ্যে নির্দিষ্ট ফাইলগুলিকে ওভাররাইট করার ক্ষমতা রাখে, কার্যকরভাবে যে কোনও আক্রমণকারীকে ব্যাকডোর অ্যাক্সেস দেয়। all in one seo scam alert in bangladesh এটি ওয়েবসাইটের দখল নেওয়ার অনুমতি দেবে এবং অ্যাডমিনদের মধ্যে গ্রাহক অ্যাকাউন্টগুলির বিশেষাধিকারগুলিকে উন্নত করতে পারে৷

অল-ইন-ওয়ান-এসইও ওয়ার্ডপ্রেস প্লাগইনে দুর্বল কোড বিশেষাধিকার বৃদ্ধির অনুমতি দেয়

প্রমাণিত এসকিউএল ইনজেকশন
আবিষ্কৃত দ্বিতীয় দুর্বলতা এই প্লাগইনের 4.1.3.1 এবং 4.1.5.2 সংস্করণে উপস্থিত। এখানে একটি নির্দিষ্ট শেষ বিন্দু অবস্থিত:

এই এন্ডপয়েন্টটি নিম্ন-স্তরের অ্যাকাউন্টগুলির দ্বারা অ্যাক্সেসযোগ্য হওয়ার উদ্দেশ্যে নয়। যাইহোক, যেহেতু পূর্ববর্তী দুর্বলতা বর্ণনা করা হয়েছে বিশেষাধিকার বৃদ্ধির জন্য অনুমোদিত, আক্রমণকারীরা প্রথমে তাদের বিশেষাধিকারগুলিকে উন্নত করতে পারে এবং তারপরে ব্যবহারকারীর শংসাপত্র এবং প্রশাসক তথ্য সহ ডেটাবেস থেকে সংবেদনশীল ডেটা ফাঁস করার জন্য SQL কমান্ডগুলি চালাতে পারে।

অল-ইন-ওয়ান-এসইও ওয়ার্ডপ্রেস প্লাগইনে দুর্বল কোড যা এসকিউএল ইনজেকশনের অনুমতি দেয়

উপসংহারে
আপনার ওয়েবসাইট অল ইন ওয়ান এসইও ব্যবহার করলে যত তাড়াতাড়ি সম্ভব সাম্প্রতিকতম সংস্করণে আপডেট করতে ভুলবেন না! all in one seo scam alert in bangladesh  আপনি আপনার ওয়েবসাইটে উপস্থিত প্রশাসক ব্যবহারকারীদের পর্যালোচনা করতে চাইবেন। আপনি চিনতে পারেন না এমন সন্দেহভাজন ব্যবহারকারীদের সরিয়ে দিন এবং ভালো পরিমাপের জন্য সমস্ত অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করুন। আপনার অ্যাডমিনিস্ট্রেটর প্যানেলে কিছু অতিরিক্ত কঠোরতা যোগ করাও বিচক্ষণ।

আমাদের ফায়ারওয়ালের ব্যবহারকারীরা এই দুর্বলতার বিরুদ্ধে সুরক্ষিত। যদিও আমরা সর্বদা পুরানো প্লাগইনগুলিকে সাম্প্রতিকতম সংস্করণে আপডেট করার পরামর্শ দিই, বিশেষত এইগুলির মতো ক্ষেত্রে যেখানে নিরাপত্তা সমস্যা উপস্থিত থাকে!

Leave a Reply

Your email address will not be published.

Back to top button