Multi-License Discount Quote
Computer Security ক্ষতিকারক স্ক্রিপ্ট এবং ব্যাকডোর টার্গেট সমালোচনামূলক...

ক্ষতিকারক স্ক্রিপ্ট এবং ব্যাকডোর টার্গেট সমালোচনামূলক ওয়ার্ডপ্রেস প্লাগইন ত্রুটিগুলি৷

Computer Security সালে Mura দ্বারা
এতে অনুবাদ করুন:
বাংলা

সাইবার আক্রমণের একটি নতুন তরঙ্গ তিনটি ব্যাপকভাবে ব্যবহৃত ওয়ার্ডপ্রেস প্লাগইনগুলির দুর্বলতাকে কাজে লাগাচ্ছে, ওয়েবসাইটগুলিতে ক্ষতিকারক স্ক্রিপ্ট এবং ব্যাকডোর ইনজেকশন করছে, দ্রুত সতর্ক করে। এই গুরুতর ত্রুটিগুলি আক্রমণকারীদের অননুমোদিত সংরক্ষিত ক্রস-সাইট স্ক্রিপ্টিং (XSS) আক্রমণ চালাতে, অননুমোদিত ওয়ার্ডপ্রেস অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট তৈরি করতে, প্লাগইন এবং থিম ফাইলগুলিতে PHP ব্যাকডোর ইনজেকশন এবং আপোসকৃত সাইটগুলি নিরীক্ষণের জন্য ট্র্যাকিং স্ক্রিপ্ট সেটআপ করতে সক্ষম করে।

অটোনোমাস সিস্টেম (এএস) আইপি ভলিউম ইনকর্পোরেটেডের সাথে যুক্ত আইপি থেকে উদ্ভূত একটি উল্লেখযোগ্য সংখ্যক শোষণ প্রচেষ্টা দ্রুত পর্যবেক্ষণ করেছে। প্রভাবিত প্লাগইনগুলির মধ্যে রয়েছে WP পরিসংখ্যান, WP মেটা এসইও, এবং লাইটস্পিড ক্যাশে, লক্ষ লক্ষ সক্রিয় ইনস্টলেশনকে প্রভাবিত করে।

WP পরিসংখ্যান দুর্বলতা: CVE-2024-2194

প্রথম দুর্বলতা WP পরিসংখ্যান প্লাগইনকে প্রভাবিত করে, যা 600,000 টিরও বেশি সক্রিয় ইনস্টলেশন নিয়ে গর্ব করে। CVE-2024-2194 হিসাবে ট্র্যাক করা, এই ত্রুটি আক্রমণকারীদের URL অনুসন্ধান প্যারামিটারের মাধ্যমে স্ক্রিপ্টগুলি ইনজেকশন করতে দেয়৷ মার্চ মাসে প্রকাশিত, এটি 14.5 এবং তার আগের সংস্করণগুলিকে প্রভাবিত করে৷ যখনই একজন ব্যবহারকারী একটি সংক্রামিত পৃষ্ঠা অ্যাক্সেস করে তখনই ইনজেকশন করা স্ক্রিপ্টগুলি কার্যকর হয়, আক্রমণকারীরা সবচেয়ে বেশি পরিদর্শন করা পৃষ্ঠাগুলিতে পেলোড উপস্থিত হয় তা নিশ্চিত করার অনুরোধে 'utm_id' প্যারামিটার যোগ করে।

WP মেটা এসইও দুর্বলতা: CVE-2023-6961

দ্বিতীয় দুর্বলতা, CVE-2023-6961, 20,000 এর বেশি সক্রিয় ইনস্টলেশন সহ WP মেটা এসইও প্লাগইনকে প্রভাবিত করে। এই বাগটি আক্রমণকারীদের 404 প্রতিক্রিয়া তৈরি করে এমন পৃষ্ঠাগুলিতে একটি পেলোড ইনজেক্ট করতে দেয়। যখন একজন প্রশাসক এমন একটি পৃষ্ঠা লোড করেন, তখন স্ক্রিপ্টটি দূরবর্তী সার্ভার থেকে অস্পষ্ট জাভাস্ক্রিপ্ট কোড নিয়ে আসে। প্রশাসক প্রমাণীকৃত হলে, পেলোড তাদের শংসাপত্র চুরি করতে পারে।

LiteSpeed ক্যাশে দুর্বলতা: CVE-2023-40000

তৃতীয় দুর্বলতা, CVE-2023-40000, LiteSpeed ক্যাশে প্লাগইনকে লক্ষ্য করে, যার 5 মিলিয়নেরও বেশি সক্রিয় ইনস্টলেশন রয়েছে। আক্রমণকারীরা এক্সএসএস পেলোডকে অ্যাডমিন বিজ্ঞপ্তি হিসাবে ছদ্মবেশ ধারণ করে, একটি ব্যাকএন্ড পৃষ্ঠায় প্রশাসকের অ্যাক্সেসের উপর স্ক্রিপ্টটি ট্রিগার করে। এটি পরবর্তী দূষিত ক্রিয়াগুলির জন্য প্রশাসকের শংসাপত্র ব্যবহার করে স্ক্রিপ্টটিকে কার্যকর করার অনুমতি দেয়৷

ফাস্টলির তদন্তে ট্র্যাকিংয়ের জন্য ব্যবহৃত দুটি অতিরিক্ত ডোমেনের সাথে ক্ষতিকারক পেলোডগুলিতে উল্লেখ করা পাঁচটি ডোমেন সনাক্ত করা হয়েছে, যার মধ্যে অন্তত একটি পূর্বে দুর্বল ওয়ার্ডপ্রেস প্লাগইনগুলির শোষণের সাথে যুক্ত ছিল৷ প্রভাবিত প্লাগইনগুলি ব্যবহার করে ওয়েবসাইট প্রশাসকদের অবিলম্বে সর্বশেষ সংস্করণে আপডেট করার এবং সন্দেহজনক কার্যকলাপের জন্য তাদের সাইটগুলি পর্যবেক্ষণ করার পরামর্শ দেওয়া হয়।


লোড হচ্ছে...