আমি যখন প্লাগইনটি অডিট করছিলাম তখন WPForms প্লাগইন সংস্করণ 1.5.8.2 এবং নীচের দেখানো XSS-এর জন্য অসুবিধা গুলো পাওয়া গেছে। এই প্লাগিন-টি মার্চ 5, 2020 এ প্রকাশ হয়েছিল।
WPForms এ XSS-এর ভূমিকা
WPForms হল 3 মিলিয়নেরও বেশি সক্রিয় ইনস্টলেশন সহ একটি জনপ্রিয় WordPress ফর্ম প্লাগইন। এটির মাধমে প্রমাণ-কৃত ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) এর অসুবিধা গুলো পাওয়া গেছে। XSS হলো এক ধরনের সমস্যা যা আক্রমণকারীর বিভিন্ন ক্ষতিকারক কাজ করতে ব্যবহার হতে পারে যেমন ব্যাবহারকারীর সেশন কুকিজ বা লগইন ইনফো চুরি করা, ব্যাবহারকারীর পক্ষে এলোমেলোভাবে কাজ করা, তাদের KeyStock-গুলি লগ করা এবং আরও অনেক কিছু।
অসুবিধা
WPForms প্লাগইন-এর ফর্ম বিল্ডার মডিউলের ফর্ম বিবরণ এবং ক্ষেত্র বিবরণ ক্ষেত্রগুলিকে সংরক্ষিত XSS-এর জন্য ঝুঁকিপূর্ণ হিসাবে বিবেচনা করা হয়, কারণ তারা ব্যবহারকারীর দ্বারা প্রদত্ত ইনপুটকে সঠিকভাবে পরিষ্কার করে না।
যদিও তারা একটি প্রমাণ-কৃত XSS এর অসুবিধা হিসাবে উচ্চ নিরাপত্তার হুমকি সৃষ্টি করে না। আমরা নিশ্চিত করেছি যে এগুলি একটি ওয়ার্ডপ্রেস মাল্টিসাইট ইনস্টলেশানে বিক্রি হওয়া কাজ করার জন্য একটি সুপারএডমিন কুকি পাঠাতে বা পুনঃনির্দেশিত করার জন্য আক্রমণকারীর দ্বারা সম্ভাব্যভাবে ব্যবহার করা যেতে পারে৷ অন্য ডোমেনে সুপার অ্যাডমিন, উদাহরণস্বরূপ, একটি ফিশিং পৃষ্ঠা ডিজাইন করা হয়েছে যাতে দেখায় যে তারা লগ আউট হয়েছে এবং তাদের আবার লগ ইন করতে হবে, এইভাবে তাদের ইনফোর সাথে আপস করে। আমরা আরও খুঁজে পেয়েছি যে ফর্ম নির্মাতার “প্রিভিউ” ফাংশনটি প্রতিফলিত XSS-এর জন্যও সমস্যার ছিল।
টাইমলাইন
18 ফেব্রুয়ারী, 2020 তারিখে WPForms-এর টিমের কাছে সমস্যাটি রিপোর্ট করা হয়েছে। WPForms সংস্করণ 1.5.9 যেটিতে সমস্যা গুলোর সমাধান রয়েছে তা 5 মার্চ, 2020 এ প্রকাশিত হয়েছিল।
সুপারিশ
প্লাগইনটিকে সর্বশেষ সংস্করণে আপডেট করার জন্য এটি অত্যন্ত বাঞ্ছনীয়। সর্বোত্তম নিরাপত্তা অনুশীলনের জন্য, আপনি নিম্নলিখিত নির্দেশিকাগুলি অনুসরণ করতে পারেন: