sillytavern NPM-এ গুরুতর SSRF ঝুঁকি//প্রকাশিত হয়েছে 2026-05-20//CVE-2026-46372

WP-ফায়ারওয়াল সিকিউরিটি টিম

SSRF in SillyTavern Vulnerability

প্লাগইনের নাম সিলিটাভার্ন
দুর্বলতার ধরণ SSRF (সার্ভার-সাইড রিকোয়েস্ট ফরজারি)
সিভিই নম্বর CVE-2026-46372
জরুরি অবস্থা উচ্চ
সিভিই প্রকাশের তারিখ 2026-05-20
উৎস URL CVE-2026-46372

সিলিটাভার্নে SSRF (<= 1.17.0): ওয়ার্ডপ্রেস সাইট মালিকদের যা জানা দরকার এবং WP‑Firewall আপনাকে কীভাবে রক্ষা করে

তারিখ: 2026-05-19
লেখক: WP-ফায়ারওয়াল সিকিউরিটি টিম

ট্যাগ: নিরাপত্তা, ওয়ার্ডপ্রেস, ssrf, দুর্বলতা, waf, ঘটনা-প্রতিক্রিয়া

নির্বাহী সারসংক্ষেপ

১৯ মে ২০২৬ তারিখে একটি উচ্চ-গুরুতর সার্ভার সাইড রিকোয়েস্ট ফরজারি (SSRF) দুর্বলতা NPM প্যাকেজ “সিলিটাভার্ন” (<= 1.17.0) প্রকাশিত হয়েছিল (CVE‑2026‑46372, GHSA‑qg89‑qwwh‑5f3j)। সমস্যা একটি অযাচিত baseUrl প্যারামিটার থেকে উদ্ভূত হয়েছে যা একটি SearXNG সার্চ প্রক্সি ইন্টিগ্রেশন দ্বারা ব্যবহৃত হয়। একজন আক্রমণকারী এই ত্রুটির অপব্যবহার করে প্রভাবিত সার্ভারকে আক্রমণকারী-নিয়ন্ত্রিত বা অভ্যন্তরীণ ঠিকানায় HTTP অনুরোধ করতে বাধ্য করতে পারে, সম্ভাব্যভাবে শংসাপত্র, মেটাডেটা এন্ডপয়েন্ট, অভ্যন্তরীণ পরিষেবা প্রকাশ করে, বা আরও পার্শ্বীয় আন্দোলন সক্ষম করে। প্যাকেজটি সংস্করণ 1.18.0-এ প্যাচ করা হয়েছে। যদি আপনি সিলিটাভার্নের উপর নির্ভরশীল কোনও পরিষেবা চালান বা রিভার্স প্রক্সি কার্যকারিতা প্রকাশ করেন, তবে এটি জরুরি হিসাবে বিবেচনা করুন।.

এই পোস্টটি প্রযুক্তিগত বিশদগুলি সাধারণ ভাষায় ব্যাখ্যা করে, কেন ওয়ার্ডপ্রেস প্রশাসকদের যত্ন নেওয়া উচিত, কীভাবে শোষণের প্রচেষ্টা সনাক্ত করতে হয়, সুপারিশকৃত তাত্ক্ষণিক এবং দীর্ঘমেয়াদী প্রশমন, আপনি এখন যে নমুনা WAF নিয়মগুলি প্রয়োগ করতে পারেন (WP‑Firewall নির্দেশিকা সহ), এবং একটি ঘটনা প্রতিক্রিয়া চেকলিস্ট যা আপনি অনুসরণ করতে পারেন যদি আপনি আপসের সন্দেহ করেন।.

কেন এটি WordPress সাইট মালিকদের জন্য গুরুত্বপূর্ণ

প্রথম দৃষ্টিতে একটি NPM প্যাকেজের দুর্বলতা সরাসরি ওয়ার্ডপ্রেসের সাথে সম্পর্কিত মনে নাও হতে পারে। কিন্তু আধুনিক ওয়ার্ডপ্রেস পরিবেশগুলি বিরলভাবে বিচ্ছিন্ন থাকে:

  • ওয়ার্ডপ্রেস সাইটগুলি প্রায়শই একই হোস্টিং অ্যাকাউন্ট বা VM-এ অন্যান্য পরিষেবার সাথে সহাবস্থান করে (ক্যাশিং স্তর, হেডলেস ফ্রন্টএন্ড/ব্যাকএন্ড, চ্যাট এজেন্ট, বট বা স্ব-হোস্টেড ইন্টিগ্রেশন)।.
  • টিমগুলি একই অবকাঠামোর উপর মিশ্র-প্রযুক্তি সরঞ্জাম (Node.js মাইক্রোসার্ভিস, চ্যাট ফ্রন্টএন্ড, স্ব-হোস্টেড সহায়ক) চালায় যা ওয়ার্ডপ্রেস অ্যাপ্লিকেশনের সাথে।.
  • যে কোনও উপাদান যা আক্রমণকারীর পক্ষে আউটবাউন্ড HTTP(S) অনুরোধ করতে প্ররোচিত হতে পারে তা অভ্যন্তরীণ এন্ডপয়েন্ট (যেমন, মেটাডেটা API, প্রশাসক প্যানেল, ডেটাবেস পোর্ট) অ্যাক্সেস করতে বা অভ্যন্তরীণ পরিষেবাগুলিতে পৌঁছাতে অস্ত্রায়িত হতে পারে যা কখনও প্রকাশ্যে থাকা উচিত নয়।.

SSRF একটি উচ্চ-প্রভাব শ্রেণীর বাগ কারণ আক্রমণকারী সার্ভার-সাইড HTTP অনুরোধের লক্ষ্য নিয়ন্ত্রণ করে, সম্ভাব্যভাবে অন্যথায় অপ্রাপ্য অভ্যন্তরীণ সম্পদে প্রবেশের অনুমতি দেয়। অন্যান্য পরিষেবার সাথে নেটওয়ার্কিং বা শংসাপত্র ভাগ করা ওয়ার্ডপ্রেস পরিবেশগুলির জন্য, এমনকি একটি প্যাকেজে একটি SSRF গুরুতর পরিণতি দিতে পারে।.

প্রযুক্তিগত পটভূমি — কী ঘটেছিল

সিলিটাভার্ন কিছু বৈশিষ্ট্যের জন্য সার্চ প্রক্সি হিসাবে SearXNG ব্যবহার করে। দুর্বল সংস্করণগুলিতে (<= 1.17.0) baseUrl সার্চ প্রক্সি কনফিগার করার জন্য মানটি সঠিকভাবে যাচাই বা সীমাবদ্ধ করা হয়নি। এটি একজন আক্রমণকারীকে সরবরাহ বা манিপুলেট করতে অনুমতি দেয় baseUrl যাতে অ্যাপ্লিকেশনটি আক্রমণকারীর দ্বারা নির্ধারিত অযাচিত URL-এ অনুরোধ করে।.

দুর্বলতার মূল বৈশিষ্ট্য:

  • শ্রেণী: সার্ভার সাইড রিকোয়েস্ট ফরগারি (SSRF)।.
  • মূল কারণ: একটি URL/কনফিগারেশন প্যারামিটারের অপ্রতুল যাচাইকরণ (baseUrl) যা একটি প্রক্সি কলের জন্য পাস করা হয়।.
  • প্রভাব: দুর্বল সার্ভারটি অভ্যন্তরীণ IP, ক্লাউড মেটাডেটা এন্ডপয়েন্ট (169.254.169.254), অন্যান্য অভ্যন্তরীণ ব্যবস্থাপনা API, বা যে কোনও হোস্টে অনুরোধ করতে বাধ্য করা যেতে পারে যা সার্ভার পৌঁছাতে পারে। আক্রমণকারীকে ভুক্তভোগীর একই নেটওয়ার্কে থাকতে হবে না — তাদের কেবল দুর্বল কোড পাথটি ট্রিগার করতে সক্ষম হতে হবে।.
  • প্যাচ: sillytavern v1.18.0 যাচাইকরণ এবং সীমাবদ্ধতা অন্তর্ভুক্ত করে যাতে আক্রমণকারী-নিয়ন্ত্রিত baseUrl মান।.

CVE এবং পরামর্শ শনাক্তকারী (ট্র্যাকিংয়ের জন্য): CVE‑2026‑46372, GHSA‑qg89‑qwwh‑5f3j।.

সম্ভাব্য শোষণ দৃশ্যপট (উচ্চ স্তর)

নিচে কিছু প্রতিনিধিত্বমূলক দৃশ্যাবলী রয়েছে যা দেখায় কেন SSRF বিপজ্জনক। আমি এক্সপ্লয়েট কোড উপস্থাপন করা এড়িয়ে চলি, তবে সম্ভাব্য আক্রমণগুলি বোঝা গুরুত্বপূর্ণ:

  • ক্লাউড মেটাডেটা পুনরুদ্ধার: যদি সার্ভারটি ক্লাউড প্রদানকারীর মেটাডেটা এন্ডপয়েন্টে পৌঁছাতে পারে, তবে একটি আক্রমণকারী শংসাপত্র টোকেন বা ইনস্ট্যান্স মেটাডেটা (যেমন, AWS IMDS 169.254.169.254 এ) অনুরোধ করতে পারে, যা তাদের ক্লাউড API অ্যাক্সেসে উন্নীত করতে দেয়।.
  • অভ্যন্তরীণ প্রশাসনিক ইন্টারফেসে অ্যাক্সেস: অনেক অ্যাপ্লিকেশন লোকালহোস্ট বা অভ্যন্তরীণ সাবনেটে ব্যবস্থাপনা API প্রকাশ করে। SSRF ব্যবহার করে সেই API-গুলিতে অ্যাক্সেস করা যেতে পারে (যেমন 127.0.0.1-এ বাঁধা একটি ব্যবস্থাপনা এন্ডপয়েন্ট বা HTTP-এর মাধ্যমে প্রকাশিত একটি Docker/RPC সকেট) এবং ধ্বংসাত্মক ক্রিয়াকলাপ ট্রিগার করা যেতে পারে।.
  • পোর্ট স্ক্যানিং এবং অভ্যন্তরীণ আবিষ্কার: একটি আক্রমণকারী দুর্বল সার্ভারটি একটি পিভট হিসাবে ব্যবহার করতে পারে অভ্যন্তরীণ IP পরিসর স্ক্যান করতে এবং সেবা ম্যাপ করতে যা অন্যথায় ইন্টারনেট থেকে অপ্রাপ্য।.
  • নেটওয়ার্ক অ্যাক্সেস নিয়ম বাইপাস: কিছু নেটওয়ার্ক নির্দিষ্ট সিস্টেমে সরাসরি বাহ্যিক অ্যাক্সেস সীমাবদ্ধ করে; SSRF সেই সীমাবদ্ধতাগুলি বাইপাস করতে পারে ভুক্তভোগী সার্ভারটি পরিবর্তে অনুরোধটি করতে।.
  • অভ্যন্তরীণ এন্ডপয়েন্টের মাধ্যমে ডেটা এক্সফিলট্রেশন: কিছু পরিষেবা অভ্যন্তরীণ API বা ডিবাগ এন্ডপয়েন্টের মাধ্যমে সংবেদনশীল ডেটা প্রকাশ করে। SSRF সেই এন্ডপয়েন্টগুলিতে অনুরোধ করতে পারে এবং আক্রমণকারীর কাছে ফলাফল ফেরত দিতে পারে (সরাসরি বা পুনঃনির্দেশিত প্রতিক্রিয়ার মাধ্যমে)।.

যেহেতু দুর্বল প্যারামিটারটি আউটবাউন্ড লক্ষ্যগুলি কনফিগার করে, একটি আক্রমণকারী এমন অনুরোধ তৈরি করতে পারে যা সরাসরি উপকারী ডেটা ফেরত দেয় বা ডেটা প্রকাশের ফলস্বরূপ অনুসরণ-আপগুলির একটি চেইন প্রতিষ্ঠা করে।.

শোষণের প্রচেষ্টাগুলি কীভাবে সনাক্ত করবেন

SSRF প্রচেষ্টা সনাক্ত করতে উভয় ওয়েব অনুরোধ এবং সার্ভারের আউটবাউন্ড কার্যকলাপ পর্যবেক্ষণ করতে হয়। এখানে কিছু ব্যবহারিক সনাক্তকরণ সংকেত রয়েছে:

  • ওয়েব সার্ভার লগ: অস্বাভাবিক প্যারামিটার সহ অনুরোধগুলি খুঁজুন, বিশেষ করে baseUrl, প্রক্সি, ইউআরএল, লক্ষ্য, বা অন্যান্য URL প্যারামিটার। অস্বাভাবিক দীর্ঘ বা এনকোডেড মান, URL-এ মৌলিক প্রমাণীকরণ শংসাপত্র, বা মান যা অন্তর্ভুক্ত করে http://169.254.169.254 বা ব্যক্তিগত IP পরিসর লাল পতাকা।.
  • অ্যাপ্লিকেশন লগ: HTTP অনুরোধগুলি সম্পাদন করে এবং গন্তব্য ঠিকানাগুলি লগ করে এমন কোড পাথগুলি পরীক্ষা করুন। আউটবাউন্ড অনুরোধের ফ্রিকোয়েন্সিতে স্পাইক বা একটি একক প্রক্সি এন্ডপয়েন্টে পুনরাবৃত্ত অনুরোধ সন্দেহজনক।.
  • আউটবাউন্ড নেটওয়ার্ক লগ: ওয়েব সার্ভার প্রক্রিয়া থেকে অভ্যন্তরীণ আইপি পরিসরের সাথে সংযোগের জন্য ইগ্রেস লগগুলি পরিদর্শন করুন, অথবা 169.254.169.254, 127.0.0.1, ব্যক্তিগত RFC1918 পরিসর, অথবা IPv6 লিঙ্ক-লোকাল ঠিকানাগুলির সাথে অপ্রত্যাশিত সংযোগগুলি।fe80::/10).
  • DNS লগ: এলোমেলো সাবডোমেন বা দ্রুত TTL পরিবর্তনের সাথে ডোমেনগুলির জন্য DNS অনুসন্ধানগুলি দেখুন (সম্ভাব্য DNS-ভিত্তিক এভেশন)।.
  • WAF লগ: সন্দেহজনক মান বা প্যাটার্নগুলির সাথে মিলিত যে কোনও প্রচেষ্টাকে ব্লক এবং মনিটর করুন। baseUrl ব্যক্তিগত আইপি পরিসরের সাথে মিলে যাওয়া মান বা প্যাটার্নগুলি।.
  • প্রক্রিয়ার আচরণ: PHP/Node রানটাইম থেকে নেটওয়ার্ক কল করা নতুন প্রক্রিয়া বা CPU/DNS কার্যকলাপে স্পাইকগুলি স্বয়ংক্রিয় শোষণের প্রচেষ্টার ইঙ্গিত দিতে পারে।.

এই বেসলাইনগুলি দ্রুত প্রতিষ্ঠা করুন যাতে বিচ্যুতি স্পষ্ট হয়।.

তাত্ক্ষণিক পদক্ষেপ — পরবর্তী কয়েক ঘন্টায় কী করতে হবে

  1. সফ্টওয়্যার প্যাচ করুন
    যদি আপনি SillyTavern বা sillytavern-এ নির্ভরশীল কোনও পরিষেবা চালান, তবে অবিলম্বে v1.18.0-এ আপডেট করুন। এটি সঠিক সমাধান এবং মৌলিক বাগটি নির্মূল করে।.
  2. যদি আপনি অবিলম্বে আপডেট করতে না পারেন, তবে ভার্চুয়াল প্যাচিং প্রয়োগ করুন
    ক্ষতিকারক ব্যবহার সনাক্ত এবং ব্লক করতে WAF নিয়মগুলি স্থাপন করুন। baseUrl (নিচে উদাহরণ)।.
    যে কোনও এন্ডপয়েন্টে পাবলিক অ্যাক্সেস সীমাবদ্ধ করুন যা গ্রহণ করে। baseUrl অথবা প্রক্সি URL।.
  3. আউটগোয়িং সংযোগগুলি সীমাবদ্ধ করুন।
    স্পষ্টভাবে অনুমোদিত গন্তব্যগুলির ব্যতীত আউটবাউন্ড ট্রাফিক অস্বীকার করতে হোস্ট ইগ্রেস নিয়মগুলি (ক্লাউড সিকিউরিটি গ্রুপ, ফায়ারওয়াল নিয়ম, iptables, বা হোস্টিং নিয়ন্ত্রণ) ব্যবহার করুন।.
    ন্যূনতম, ক্লাউড মেটাডেটা এন্ডপয়েন্টগুলিতে (169.254.169.254) এবং অভ্যন্তরীণ ব্যবস্থাপনা নেটওয়ার্কগুলিতে অ্যাক্সেস ব্লক করুন।.
  4. কোয়ারেন্টাইন এবং তদন্ত করুন।
    যদি আপনি শনাক্তকৃত তালিকা থেকে সন্দেহজনক সূচকগুলি সনাক্ত করেন, তাহলে প্রভাবিত হোস্টটি বিচ্ছিন্ন করুন এবং ফরেনসিকের জন্য লগগুলি সংরক্ষণ করুন। প্রমাণপত্র চুরি বা আরও আপসের লক্ষণগুলি পরীক্ষা করুন।.
  5. প্রমাণপত্র এবং গোপনীয়তাগুলি ঘুরিয়ে দিন (যদি প্রয়োজন হয়)
    যদি ক্লাউড মেটাডেটা বা প্রশাসক API গুলি অনুসন্ধান করা হয়ে থাকে, তাহলে প্রভাবিত API কী এবং প্রমাণপত্রগুলি ঘুরিয়ে দিন।.
  6. পরবর্তী কার্যক্রমের জন্য পর্যবেক্ষণ করুন
    নতুন ব্যবহারকারী অ্যাকাউন্ট, পরিবর্তিত কনফিগারেশন, সংশোধিত ফাইল, বা নির্ধারিত কাজগুলি খুঁজুন যা পরবর্তী কার্যকলাপ নির্দেশ করতে পারে।.

WP‑Firewall প্রশমন এবং উদাহরণ নিয়ম

একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল বিক্রেতা হিসেবে, আমরা একটি স্তরযুক্ত পদ্ধতির সুপারিশ করি: এই নির্দিষ্ট ভেক্টরটি ভার্চুয়াল-প্যাচ করার জন্য তাত্ক্ষণিক WAF নিয়ম সেট, পাশাপাশি প্রতিরক্ষার জন্য হোস্ট/নেটওয়ার্ক ইগ্রেস নিয়ন্ত্রণ।.

নিচে কিছু নমুনা নিয়ম রয়েছে যা আপনি তাত্ক্ষণিকভাবে স্থাপন করতে পারেন। এগুলি সাধারণ নিয়মের উদাহরণ (ModSecurity শৈলী) যা আপনার প্ল্যাটফর্মের জন্য অভিযোজিত হতে উদ্দেশ্যপ্রণোদিত। উৎপাদনে স্থাপন করার আগে একটি স্টেজিং পরিবেশে নিয়মগুলি পরীক্ষা করুন যাতে বৈধ ট্রাফিক ভেঙে না যায়।.

গুরুত্বপূর্ণ নোট: এগুলি শনাক্তকরণ এবং ব্লকিং প্যাটার্ন। এগুলি ইচ্ছাকৃতভাবে প্রতিরক্ষামূলক; এগুলিকে একমাত্র সুরক্ষা হিসেবে ব্যবহার করবেন না — দুর্বল প্যাকেজটি আপডেট করা বাধ্যতামূলক।.

1) প্রার্থনাগুলি ব্লক করুন baseUrl ব্যক্তিগত IP বা মেটাডেটা এন্ডপয়েন্টগুলি উল্লেখ করে

# baseUrl প্যারামিটারটি পরীক্ষা করুন যা ব্যক্তিগত IP বা মেটাডেটা এন্ডপয়েন্টগুলি ধারণ করে"

এটি কি করে:

  • প্যারামিটারগুলি শনাক্ত করে যেমন baseUrl এবং যদি মানটি লোকালহোস্ট, ব্যক্তিগত RFC1918 পরিসীমা, AWS মেটাডেটা IP, বা IPv6 লিঙ্ক-লোকাল ঠিকানা ধারণ করে তবে অনুরোধগুলি অস্বীকার করে।.

2) এমবেডেড প্রমাণপত্র বা সন্দেহজনক প্রোটোকল সহ URL অস্বীকার করুন

# মৌলিক প্রমাণপত্র বা বিপজ্জনক প্রোটোকল সহ URL ব্লক করুন"

3) পুনরাবৃত্তি করা প্রক্সি অনুরোধগুলি রেট সীমাবদ্ধ করুন বা ব্লক করুন

যদি একটি একক দূরবর্তী IP অনেক প্রক্সি অনুরোধ পাঠাচ্ছে বা অনেক অনন্য baseUrl মান, থ্রোটল বা ব্লক করুন:

# হার্ড লিমিটিং উদাহরণ (ধারণাগত)"

(উপরেরটি স্বয়ংক্রিয় শোষণ কমাতে একটি কাস্টম হার্ড লিমিট চেকের সংহতকরণকে চিত্রিত করে।)

4) ব্যক্তিগত ঠিকানায় সমাধানকারী DNS অনুসন্ধান ব্লক করুন

একটি আরও উন্নত পদ্ধতি হল সরবরাহিত হোস্টের DNS সমাধান করা এবং এটি যদি ব্যক্তিগত IP-তে সমাধান করে তবে ব্লক করা। এর জন্য WAF সমর্থন প্রয়োজন বা একটি প্রক্সি পরিষেবার ব্যবহার।.

5) WP-ফায়ারওয়াল পরিচালিত নিয়ম

WP-ফায়ারওয়াল গ্রাহকরা পরিচালিত স্বাক্ষর পাবেন যা:

  • প্রশ্নের প্যারামিটার এবং JSON পে-লোডে সাধারণ SSRF প্যাটার্ন সনাক্ত এবং ব্লক করে।.
  • মেটাডেটা বা RFC1918 IP পরিসরের লক্ষ্যবস্তু করা অনুরোধগুলি অস্বীকার করুন।.
  • অভ্যন্তরীণ ঠিকানায় সমাধানকারী DNS রিবাইন্ডিং বা হোস্টনেম সনাক্ত করতে হিউরিস্টিক প্রয়োগ করুন।.

আপনি যদি WP-ফায়ারওয়াল গ্রাহক হন, তবে নিশ্চিত করুন যে পরিচালিত নিয়মগুলি সক্ষম এবং স্বয়ংক্রিয় নিয়ম আপডেট সক্রিয় রয়েছে।.

ডেভেলপারদের জন্য শক্তিশালীকরণ নির্দেশিকা (কোডে সংশোধন)

যদি আপনি এমন কোড রক্ষণাবেক্ষণ করেন বা উন্নয়ন করেন যা বাহ্যিক URL বা প্রক্সি কনফিগারেশন গ্রহণ করে, তবে এই নিরাপদ কোডিং অনুশীলনগুলি গ্রহণ করুন:

  • একটি অনুমতিপত্র ব্যবহার করুন: শুধুমাত্র নির্দিষ্ট হোস্টনেম (অথবা একটি স্পষ্টভাবে সংজ্ঞায়িত হোস্টনেমের সেট) অনুমোদন করুন যা অ্যাপ্লিকেশন বৈধভাবে যোগাযোগ করতে প্রয়োজন।.
  • অ-HTTP স্কিমগুলি প্রত্যাখ্যান করুন: শুধুমাত্র গ্রহণ করুন 14. https এবং 15. ডিফল্টরূপে। যেখানে প্রযোজ্য। অস্বীকার করুন file:, গফার:, ssh:, ইত্যাদি
  • হোস্ট যাচাইকরণ প্রয়োগ করুন: URL সার্ভার-সাইড পার্স করুন এবং অনুমতিপত্রের বিরুদ্ধে হোস্ট উপাদান যাচাই করুন। ব্যক্তিগত পরিসরের IP অস্বীকার করুন।.
  • এম্বেডেড শংসাপত্র প্রতিরোধ করুন: URL-এ ধারণকারী অস্বীকার করুন ব্যবহারকারী:পাসওয়ার্ড@হোস্ট.
  • হোস্টনেম সমাধান করুন এবং IP ঠিকানা যাচাই করুন: যদি আপনি হোস্টনেম অনুমোদন করেন, তবে একটি DNS সমাধান সম্পন্ন করুন এবং যদি সমাধানকৃত IP ব্যক্তিগত বা অন্যভাবে সন্দেহজনক হয় তবে অস্বীকার করুন। DNS রেস অবস্থার প্রতি সচেতন থাকুন এবং স্থিতিশীল চেক ব্যবহার করুন (যেমন, একটি নিরাপদ রিজলভার ব্যবহার করে সমাধান সম্পন্ন করুন)।.
  • টাইমআউট এবং সীমা: অনুরোধের টাইমআউট এবং রিডাইরেক্টের উপর সীমা নির্ধারণ করুন যাতে অনুরোধ স্মাগলিং এবং দীর্ঘস্থায়ী সংযোগ এড়ানো যায়।.
  • কনফিগারেশনের জন্য ব্যবহারকারী-সরবরাহিত মানগুলি সরাসরি ব্যবহার করা এড়ান: কনফিগ প্যারামিটারগুলিকে সংবেদনশীল ইনপুট হিসাবে বিবেচনা করুন যা ব্যবহারের আগে কঠোর যাচাইকরণের প্রয়োজন।.

এইগুলি সেই ধরনের ফিক্স যা সিলি ট্যাভার্ন রক্ষণাবেক্ষকরা v1.18.0 রিলিজে দুর্বলতা বন্ধ করতে বাস্তবায়ন করেছে।.

হোস্ট এবং নেটওয়ার্ক স্তরের সুরক্ষা

অ্যাপ্লিকেশন ফিক্সগুলির উপর একচেটিয়া নির্ভরতা যথেষ্ট নয়। নেটওয়ার্ক নিয়ন্ত্রণ যোগ করুন:

  • ওয়েব প্রক্রিয়াগুলিকে অভ্যন্তরীণ-শুধুমাত্র পরিষেবাগুলিতে প্রবেশ করতে বাধা দিন যতক্ষণ না স্পষ্টভাবে প্রয়োজন হয়। আউটবাউন্ড HTTP সীমাবদ্ধ করতে হোস্ট ইগ্রেস ফায়ারওয়াল নিয়ম (iptables / nftables), ক্লাউড সিকিউরিটি গ্রুপ, বা ইগ্রেস প্রক্সি ব্যবহার করুন।.
  • যদি ক্লাউড API গুলি অ্যাপের দ্বারা প্রয়োজন না হয় তবে অ্যাপ্লিকেশন ইনস্ট্যান্স থেকে ক্লাউড মেটাডেটা অ্যাক্সেস ব্লক করুন। উদাহরণস্বরূপ, ওয়েব প্রক্রিয়া থেকে 169.254.169.254 এ আউটবাউন্ড ট্রাফিক ব্লক করুন বা ইনস্ট্যান্স রোল নীতিগুলি ব্যবহার করুন যা এক্সপোজার সীমিত করে।.
  • কম্পোনেন্টগুলির মধ্যে সর্বনিম্ন অনুমতি নেটওয়ার্কিং সহ পৃথক নেটওয়ার্ক সেগমেন্টে পরিষেবাগুলি চালান।.
  • যেখানে সম্ভব, একটি মনিটর করা, নিয়ন্ত্রিত প্রক্সির মাধ্যমে আউটবাউন্ড অনুরোধগুলি জোর করুন যা অনুমতিপত্রগুলি কার্যকর করে এবং কার্যকলাপ লগ করে।.

এই পদক্ষেপগুলি একটি SSRF কীভাবে পৌঁছাতে পারে তা সীমাবদ্ধ করে এমনকি যদি অ্যাপ্লিকেশন দুর্বল হয়।.

ঘটনা প্রতিক্রিয়া চেকলিস্ট (ব্যবহারিক পদক্ষেপ)

যদি আপনি শোষণের সন্দেহ করেন, এই ক্রমবদ্ধ চেকলিস্ট অনুসরণ করুন:

  1. প্রমাণ সংরক্ষণ করুন
    লগ ক্যাপচার করুন (ওয়েব, অ্যাপ্লিকেশন, ফায়ারওয়াল, DNS, এবং নেটওয়ার্ক প্রবাহ)। লগ ওভাররাইট করবেন না।.
  2. ধারণ করা
    দুর্বল বৈশিষ্ট্য বা এন্ডপয়েন্টটি অস্থায়ীভাবে নিষ্ক্রিয় করুন।.
    হোস্টটিকে একটি অ্যাক্সেস নিয়ন্ত্রণ (আইপি সীমাবদ্ধতা) এর পিছনে রাখুন বা পরিষেবাটির জন্য পাবলিক অ্যাক্সেস নিষ্ক্রিয় করুন।.
  3. প্যাচ
    সিলিটাভার্নকে v1.18.0 এ আপডেট করুন বা বিক্রেতা-প্রস্তাবিত মেরামত প্রয়োগ করুন।.
  4. বিশ্লেষণ করুন
    সন্দেহজনক জন্য অ্যাক্সেস লগ পরিদর্শন করুন baseUrl মান, পুনরাবৃত্ত প্রক্সি অনুরোধ, বা ব্যক্তিগত আইপি লক্ষ্যযুক্ত অনুরোধ।.
    হোস্ট থেকে উদ্ভূত আউটগোয়িং সংযোগ এবং DNS অনুসন্ধানগুলি পরীক্ষা করুন।.
  5. গোপনীয়তা ঘোরান
    যদি আপনার কাছে ক্লাউড মেটাডেটা বা শংসাপত্রগুলি প্রকাশিত হয়েছে বলে বিশ্বাস করার কোনও কারণ থাকে তবে API কী, টোকেন এবং পরিষেবা শংসাপত্রগুলি রোটেট করুন।.
  6. স্ক্যান এবং পরিষ্কার করুন
    সম্ভাব্য পোস্ট-এক্সপ্লয়েট আর্টিফ্যাক্টগুলি সনাক্ত করতে সার্ভারে একটি সম্পূর্ণ ম্যালওয়্যার স্ক্যান এবং অখণ্ডতা পরীক্ষা চালান।.
  7. পুনরুদ্ধার এবং পর্যবেক্ষণ
    কেবল তখনই স্বাভাবিক কার্যক্রম পুনরায় শুরু করুন যখন আপনি নিশ্চিত হন যে সিস্টেমটি পরিষ্কার এবং শক্তিশালী। অন্তত 30 দিনের জন্য পর্যবেক্ষণ বাড়ান।.
  8. প্রতিবেদন
    যেখানে প্রয়োজন, আপনার নিরাপত্তা দল, হোস্টিং প্রদানকারী, বা আপনার ঘটনা প্রতিক্রিয়া নীতি এবং নিয়ন্ত্রক বাধ্যবাধকতার উপর নির্ভর করে গ্রাহকদের জানিয়ে দিন।.

সন্ধান এবং লগের উদাহরণগুলি অনুসন্ধানের জন্য

আপনার লগগুলি অনুসন্ধান করুন (অথবা এই প্রশ্নগুলি আপনার হোস্টিং প্রদানকারীর কাছে দিন) চেষ্টা করা শোষণের চিহ্নগুলির জন্য:

  • প্যারামিটার সহ অনুরোধগুলি:
    • ?baseUrl=
    • ?proxy= বা ?target=
    • POST/JSON শরীরগুলি যা ধারণ করে baseUrl বা proxy_url
  • প্যারামিটারগুলিতে মানগুলি যা ধারণ করে:
    • 169.254.169.254
    • 127.0.0.1 বা লোকালহোস্ট
    • 10. / 172.16.172.31. / 192.168.
    • fe80: বা ::1
    • @ (এটি এম্বেডেড শংসাপত্র নির্দেশ করে)
  • আপনার ওয়েব সার্ভার আইপি থেকে আসা ব্যক্তিগত পরিসরে আউটবাউন্ড অনুরোধগুলিতে হঠাৎ বৃদ্ধি।.
  • WAF লগগুলি উপরের উল্লেখিত স্বাক্ষরগুলি বারবার ট্রিগার করছে তা দেখাচ্ছে।.

ওয়েব, নেটওয়ার্ক এবং DNS লগগুলির মধ্যে এই ফলাফলগুলি সংগ্রহ এবং সম্পর্কিত করুন।.

আপডেট করা এখনও সবচেয়ে গুরুত্বপূর্ণ পদক্ষেপ কেন

WAF নিয়ম, ইগ্রেস ফিল্টারিং এবং হোস্ট সীমাবদ্ধতা ঝুঁকি কমায়, তবে এগুলি ক্ষতিপূরণ নিয়ন্ত্রণ। সত্যিকার সমাধান হল দুর্বল সফ্টওয়্যারটি প্যাচ করা। ভার্চুয়াল প্যাচগুলি ব্যর্থ হতে পারে যদি আক্রমণকারীরা তাদের পে-লোড পরিবর্তন করে, অথবা যদি বৈধ ব্যবহারের প্রয়োজন হয়। sillytavern v1.18.0-এ আপডেট করা উৎসে দুর্বলতা নির্মূল করে এবং আপনার দীর্ঘমেয়াদী আক্রমণ পৃষ্ঠাকে কমায়।.

WP‑Firewall কীভাবে WordPress পরিবেশগুলি রক্ষা করতে সহায়তা করে

WP‑Firewall-এ আমরা পরিচালিত নিয়ম, সক্রিয় সনাক্তকরণ এবং সহজ মেরামতের সংমিশ্রণে ফোকাস করি WordPress সাইট এবং তাদের চারপাশের অবকাঠামো রক্ষার জন্য:

  • পরিচালিত স্বাক্ষর: আমাদের নিয়ম আপডেটগুলিতে SSRF সনাক্তকরণ প্যাটার্ন এবং অগ্রসর হিউরিস্টিক অন্তর্ভুক্ত রয়েছে যা অযাচিত শোষণের প্রচেষ্টা ব্লক করতে টিউন করা হয়েছে। baseUrl অথবা প্রক্সি প্যারামিটার।.
  • ভার্চুয়াল প্যাচিং: যখন একটি জরুরি দুর্বলতা প্রকাশিত হয়, WP‑Firewall WAF এর মাধ্যমে ভার্চুয়াল প্যাচ স্থাপন করতে পারে যাতে আপনি কোড আপডেটের পরিকল্পনা করার সময় এক্সপোজার কমাতে পারেন।.
  • ম্যালওয়্যার স্ক্যানিং: আমরা SSRF পিভটের পরে অনুসরণ করতে পারে এমন আপসের সূচক এবং সন্দেহজনক পরিবর্তনের জন্য স্ক্যান করি।.
  • ইগ্রেস এবং রেট নিয়ন্ত্রণ: WP‑Firewall সন্দেহজনক এন্ডপয়েন্টগুলি থ্রোটল করতে এবং অস্বাভাবিক আউটবাউন্ড অনুরোধের প্যাটার্ন সনাক্ত করতে কনফিগার করা যেতে পারে।.
  • নির্দেশনা এবং ঘটনা সমর্থন: আমাদের বিশেষজ্ঞরা ধাপে ধাপে মেরামতের নির্দেশনা প্রদান করেন এবং লগগুলি ব্যাখ্যা করতে এবং ঘটনাগুলিতে প্রতিক্রিয়া জানাতে আপনাকে সাহায্য করতে পারেন।.

সেরা প্রতিরক্ষার জন্য WP‑Firewall সুরক্ষা বিক্রেতার প্যাচ (v1.18.0) এবং হোস্ট নেটওয়ার্ক হার্ডেনিংয়ের সাথে সংমিশ্রণ করুন।.

সুরক্ষিত কনফিগারেশন চেকলিস্ট (সারসংক্ষেপ)

  • sillytavern আপডেট করুন v1.18.0 (অথবা পরবর্তী)।.
  • WP‑Firewall পরিচালিত নিয়মগুলি সক্ষম করুন এবং নিশ্চিত করুন যে স্বয়ংক্রিয় স্বাক্ষর আপডেট সক্রিয় রয়েছে।.
  • WAF নিয়ম স্থাপন করুন ব্লকিং baseUrl ব্যক্তিগত পরিসীমা, মেটাডেটা আইপি এবং এমবেডেড শংসাপত্রের দিকে নির্দেশ করে।.
  • ওয়েব প্রক্রিয়ার জন্য আউটবাউন্ড নেটওয়ার্ক অ্যাক্সেস সীমাবদ্ধ করুন; অ্যাপ প্রক্রিয়াগুলি থেকে ক্লাউড মেটাডেটা এন্ডপয়েন্টগুলি ব্লক করুন।.
  • অন্য কোনও ব্যবহারকারী-সরবরাহিত URL প্যারামিটারগুলির জন্য অ্যাপ্লিকেশন কোড পর্যালোচনা করুন এবং অনুযায়ী হার্ডেন করুন।.
  • সন্দেহজনক প্রক্সি ব্যবহারের জন্য লগগুলি পর্যবেক্ষণ করুন এবং অস্বাভাবিক আউটবাউন্ড সংযোগের জন্য সতর্কতা বাস্তবায়ন করুন।.
  • যদি মেটাডেটা বা অভ্যন্তরীণ এন্ডপয়েন্টগুলি অ্যাক্সেস করা হয়ে থাকে তবে শংসাপত্রগুলি রোটেট করুন।.
  • যদি শোষণের সন্দেহ হয় তবে একটি পূর্ণ তদন্ত এবং ম্যালওয়্যার স্ক্যান পরিচালনা করুন।.

তাত্ক্ষণিক সুরক্ষার জন্য সাইন আপ করুন: WP‑Firewall ফ্রি প্ল্যান দিয়ে শুরু করুন

WP‑Firewall ফ্রি প্ল্যান দিয়ে দ্রুত আপনার সাইট সুরক্ষিত করুন

যদি আপনি এখনও সুরক্ষিত না হন, WP‑Firewall-এর বেসিক (ফ্রি) পরিকল্পনা হল দুর্বল উপাদানগুলি আপডেট করার সময় তাত্ক্ষণিক প্রতিকার পাওয়ার একটি চমৎকার উপায়। ফ্রি পরিকল্পনায় একটি পরিচালিত ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF), ম্যালওয়্যার স্ক্যানার, অসীম ব্যান্ডউইথ এবং OWASP শীর্ষ 10 ঝুঁকির জন্য প্রতিকার সহ প্রয়োজনীয় সুরক্ষা অন্তর্ভুক্ত রয়েছে — সাধারণ SSRF শোষণ প্যাটার্নগুলি ব্লক করতে এবং তাত্ক্ষণিক এক্সপোজার কমাতে প্রয়োজনীয় সবকিছু। আপনি দ্রুত সাইন আপ করতে এবং সুরক্ষা সক্ষম করতে পারেন এখানে:

https://my.wp-firewall.com/buy/wp-firewall-free-plan/

যদি আপনি অতিরিক্ত স্বয়ংক্রিয়তা (স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ, আইপি ব্ল্যাকলিস্টিং/হোয়াইটলিস্টিং) বা উন্নত বৈশিষ্ট্যগুলি (মাসিক সুরক্ষা প্রতিবেদন, স্বয়ংক্রিয় ভার্চুয়াল প্যাচিং, এবং পরিচালিত সুরক্ষা পরিষেবাগুলি) চান, তাহলে আপনার পরবর্তী পদক্ষেপ হিসাবে আমাদের স্ট্যান্ডার্ড বা প্রো স্তরে আপগ্রেড করার কথা বিবেচনা করুন।.

সর্বশেষ ভাবনা

SSRF দুর্বলতাগুলি শক্তিশালী কারণ এগুলি আপনার নিজস্ব হোস্টকে একটি গোয়েন্দা এবং আক্রমণ প্ল্যাটফর্মে পরিণত করে। WordPress সাইটের মালিক এবং অপারেটরদের জন্য যারা Node.js পরিষেবাগুলির সাথে অবকাঠামো ভাগ করে বা মিশ্র পরিবেশে চলাচল করে, এই SillyTavern SSRF সমস্যা একটি সময়োপযোগী স্মরণ করিয়ে দেয়:

  • দ্রুত প্যাচ করুন।
  • দ্রুত ভার্চুয়াল প্যাচ সরবরাহ করতে WAF ব্যবহার করুন।.
  • ইগ্রেস নিয়ম এবং নেটওয়ার্ক বিভাজন শক্তিশালী করুন।.
  • লগগুলি পর্যবেক্ষণ করুন এবং প্রতিক্রিয়া জানাতে প্রস্তুত থাকুন।.

যদি আপনি এক্সপোজার মূল্যায়ন করতে বা নির্দেশিত প্রতিকার প্রয়োগ করতে সহায়তার প্রয়োজন হয়, WP‑Firewall-এর সুরক্ষা দল আপনাকে ভার্চুয়াল প্যাচ প্রয়োগ করতে, কাস্টমাইজড WAF নিয়ম তৈরি করতে এবং তদন্ত চালাতে সহায়তা করতে পারে। দ্রুত সুরক্ষা যোগ করতে ফ্রি পরিকল্পনা দিয়ে শুরু করুন, এবং যদি আপনি শোষণের সূচক খুঁজে পান তবে গভীর সমর্থনের জন্য আমাদের দলের সাথে যোগাযোগ করুন।.

নিরাপদ থাকুন — সফটওয়্যার আপ টু ডেট রাখুন, ইনপুটগুলি যাচাই করুন, এবং প্রতিটি সার্ভারকে নেটওয়ার্কে কী করতে দেওয়া হয়েছে তা সর্বনিম্ন করুন।.

wordpress security update banner

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন!!

প্রতি সপ্তাহে আপনার ইনবক্সে ওয়ার্ডপ্রেস সিকিউরিটি আপডেট পেতে সাইন আপ করুন।

আমরা স্প্যাম করি না! আমাদের পড়ুন গোপনীয়তা নীতি আরও তথ্যের জন্য।

একটি প্রশংসামূলক ওয়ার্ডপ্রেস নিরাপত্তা পরামর্শ নির্ধারণ করতে আমাদের সাথে যোগাযোগ করুন

যোগাযোগ করুন

WP-ফায়ারওয়াল
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kawloon, Hong Kong

বৈশিষ্ট্য মূল্য নির্ধারণ ব্লগ প্রবেশ করুন
গোপনীয়তা নীতি সেবা পাবার শর্ত ডক্স অধিভুক্ত

© ২০২৬ WP-Firewall™