WooCommerce लोगो स्रोत - WooCommerce
यदि आपके पास कभी ईकामर्स वेबसाइट का स्वामित्व है, तो लगभग प्रतिशत प्रतिशत संभावना है कि आपने ईकामर्स वेबसाइटों के लिए लोकप्रिय प्लगइन WooCommerce के बारे में सुना होगा। इंटरनेट पर 35% से अधिक ईकामर्स वेबसाइटों पर पॉवरिंग, और 4 मिलियन से अधिक इंस्टॉलेशन के साथ, WooCommerce उन उपयोगकर्ताओं के लिए सबसे भरोसेमंद प्लगइन में से एक है, जिनके पास स्वयं का ऑनलाइन स्टोर है। यदि आप एक WooCommerce प्लगइन उपयोगकर्ता हैं, तो कुछ महत्वपूर्ण खबरें हैं जो आपको याद नहीं रखनी चाहिए।
तकनीकी
साइमन स्कैनेल, आरआईपीएस टेक्नोलॉजीज जीएमबीएच के एक शोधकर्ता, की खोज की प्लगइन में एक भेद्यता (करने के लिए क्रेडिट) HackerNews ब्लॉगपोस्ट खोजने के लिए), जो कथित तौर पर एक दुर्भावनापूर्ण या समझौता किए गए विशेषाधिकार प्राप्त उपयोगकर्ता को वेबसाइट पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देता है, बशर्ते वे प्लगइन के अप्रकाशित संस्करण का उपयोग कर रहे हों। साइमन के ब्लॉग में भेद्यता का विवरण निम्नानुसार है:
जिस तरह से वर्डप्रेस हैंडल विशेषाधिकार में एक दोष है वह वर्डप्रेस प्लगइन्स में विशेषाधिकार वृद्धि का कारण बन सकता है। यह उदाहरण के लिए प्रभावित करता है WooCommerce, 4 मिलियन से अधिक प्रतिष्ठानों के साथ सबसे लोकप्रिय ई-कॉमर्स प्लगइन। भेद्यता की अनुमति देता है दुकान प्रबंधक सर्वर पर कुछ फ़ाइलों को हटाने और फिर किसी भी व्यवस्थापक खाते को लेने के लिए।
साइमन ने अपने ब्लॉगपोस्ट में शोषण के बारे में तकनीकी विवरण का खुलासा किया। वह बताता है कि कैसे Wordpress स्वचालित रूप से 'के साथ खातों की अनुमति देता है edit_users “एक व्यवस्थापक खाते की साख को भी संपादित करने की अनुमति। लेकिन, WooCommerce जैसे प्लगइन्स मेटा क्षमताओं को शामिल करते हैं, जो फ़ंक्शंस के रूप में कार्यान्वित होते हैं, और जिसका वापसी मूल्य यह तय करता है कि वर्तमान उपयोगकर्ता उस क्रिया को कर सकता है या नहीं। यह दुकान प्रबंधकों को व्यवस्थापक खातों को संपादित करने से रोकता है।
द फ्लेव
जिस तरह से Wordpress इन खाता विशेषाधिकारों को संभालता है, उसका मुख्य दोष यह है कि दिए गए प्लगइन की मेटा क्षमताओं को निष्पादित किया जाता है यदि और केवल यदि प्लगइन सक्रिय है। अगर किसी भी तरह से, WooCommerce प्लगइन अक्षम हो जाता है, तो सभी उपयोगकर्ता खाते ' edit_users “अनुमति प्रशासक खातों के साथ ही फिडेल करने में सक्षम होगी, और इसलिए पूरी वेबसाइट पर ले जाएगी।
हालाँकि, केवल व्यवस्थापक ही प्लग इन को अक्षम कर सकते हैं, WooCommerce में एक मनमाना फ़ाइल विलोपन भेद्यता दुकान प्रबंधकों को सर्वर पर किसी भी फ़ाइल को हटाने की अनुमति देती है जो कि लेखन योग्य है। इस भेद्यता का उपयोग स्वयं WooCommerce को अक्षम करने के लिए किया जा सकता है, और इस तरह से दुकान प्रबंधक खाते पर सभी प्रतिबंधों से छुटकारा पा सकते हैं, ' WooCommerce की मुख्य फ़ाइल को हटाकर,woocommerce.php, WordPress प्लगइन लोड करने में असमर्थ होगा और फिर उसे निष्क्रिय कर देगा 'जैसा कि साइमन अपने ब्लॉग में कहते हैं।
समाधान
जबकि भेद्यता बहुत महत्वपूर्ण है, अच्छी खबर यह है कि यह है संस्करण 3.4.6 में पैच किया गया WooCommerce, पिछले महीने। यदि आप अपनी वेबसाइट में WooCommerce का उपयोग करते हैं, यह अत्यधिक अनुशंसा की जाती है कि आप अपने WooCommerce प्लगइन और Wordpress को भी अपडेट करें , यह सुनिश्चित करने के लिए कि आपको पूर्वोक्त भेद्यता से छुटकारा मिलेगा।
टैग सुरक्षा WordPress के
