LiteSpeed Cache প্লাগইনের দুর্বলতা WordPress ওয়েবসাইটগুলির জন্য নিরাপত্তা ঝুঁকি তৈরি করছে

LiteSpeed Cache প্লাগিনে একটি নতুনভাবে উন্মোচিত উচ্চ-ঝুঁকিপূর্ণ নিরাপত্তা দুর্বলতা WordPress-এর মিলিয়ন মিলিয়ন ওয়েবসাইটকে ঝুঁকির মধ্যে ফেলেছে। এই দুর্বলতা, CVE-2024-50550 হিসেবে ট্র্যাক করা হয়েছে এবং এর CVSS স্কোর ৮.১, যা কোনো অপরিচিত আক্রমণকারীকে প্রশাসনিক-স্তরের অ্যাক্সেস পাওয়ার সুযোগ দিতে পারে। Patchstack এর নিরাপত্তা গবেষক Rafie Muhammad এটি আবিষ্কার করেছেন এবং এটি ৬.৫.২ সংস্করণে প্যাচ করা হয়েছে। ব্যবহারকারীদের এই সংস্করণে আপডেট করার জন্য জোর দেওয়া হচ্ছে, যাতে তারা সম্ভাব্য ঝুঁকি থেকে নিরাপদ থাকতে পারেন।

এই দুর্বলতাটি is_role_simulation ফাংশনের কারণে হয়েছে, যা একটি দুর্বল নিরাপত্তা হ্যাশের উপর নির্ভর করে। আক্রমণকারীরা এটি ব্রুট-ফোর্স করতে পারে এবং প্রশাসকের মতো লগ ইন করা ব্যবহারকারীর মত আচরণ করতে পারে। এর ফলে, অনুমোদনহীন ব্যক্তি LiteSpeed Cache প্লাগিনের ক্রলার ফিচারটির অপব্যবহার করতে পারে এবং উচ্চ-স্তরের অনুমতি অর্জন করতে পারে, যা সাইটকে উল্লেখযোগ্য ঝুঁকিতে ফেলে। সফল এক্সপ্লয়টেশনের জন্য ক্রলারকে ‘ON’ সেট করা এবং নির্দিষ্ট সেটিংস যেমন সময়কাল, সময়ের ব্যবধান, এবং সার্ভারের লোড সীমা কনফিগার করা প্রয়োজন। LiteSpeed Cache প্যাচটি এই সমস্যার কার্যকর সমাধান করেছে, যা রোল সিমুলেশনকে নিষ্ক্রিয় করে এবং হ্যাশ তৈরির জন্য একটি জটিল মান উৎপাদক ব্যবহার করে। এই পরিবর্তনের কারণে ব্রুট-ফোর্স আক্রমণের সম্ভাবনা কমে যায়।

গত দুই মাসে LiteSpeed Cache প্লাগিনে এটি তৃতীয় উচ্চ-ঝুঁকিপূর্ণ সমস্যা হিসেবে চিহ্নিত করা হয়েছে, এর আগে CVE-2024-44000 এবং CVE-2024-47374 নামে দুটি সমস্যা চিহ্নিত হয়েছে, যা অনুমোদনহীন প্রবেশাধিকার বৃদ্ধি এবং ডেটা ম্যানিপুলেশনের সুযোগ তৈরি করে।

এই নিরাপত্তা দুর্বলতা এমন সময় এসেছে যখন WordPress প্লাগিন ব্যবস্থাপনায় একটি বড় সমস্যা চলছে। অনেক ডেভেলপার Automattic (WordPress-এর মূল কোম্পানি) এবং WP Engine এর মধ্যে চলমান আইনি বিরোধের কারণে wordpress.org থেকে সরে যাচ্ছেন। Patchstack এর CEO Oliver Sild জানিয়েছেন যে, wordpress.org থেকে সরানো প্লাগইন ব্যবহারকারীরা যদি দুর্বলতা প্যাচ না করে, তবে তারা গুরুত্বপূর্ণ আপডেট নাও পেতে পারেন এবং তাদের ওয়েবসাইট ঝুঁকির মধ্যে পড়তে পারে। তিনি সতর্ক করেছেন যে, সরানো প্লাগইনগুলির জন্য ম্যানুয়াল ইনস্টলেশন জরুরি, যাতে ব্যবহারকারীরা নিরাপত্তার জন্য গুরুত্বপূর্ণ প্যাচ পেতে পারেন।

ওয়েবসাইট সুরক্ষার জন্য, WordPress অ্যাডমিনদের LiteSpeed Cache প্লাগিনের সর্বশেষ সংস্করণে আপডেট করতে, ক্রলার সেটিংস চেক করতে এবং অনুমোদনহীন অ্যাক্সেস শনাক্ত করতে অতিরিক্ত নিরাপত্তা প্লাগইন ব্যবহার করার পরামর্শ দেওয়া হচ্ছে। দ্রুত ডেটা পুনরুদ্ধারের জন্য নিয়মিত backup রাখাও পরামর্শ দেওয়া হচ্ছে।

তথ্যসূত্র: The Hacker News