JetTabs <= 2.2.3 - प्रमाणित (योगदानकर्ता+) मनमाना स्थानीय फ़ाइल समावेशन
प्लेटफ़ॉर्म
wordpress
घटक
jettabs
में ठीक किया गया
2.2.4
CVE-2024-7146 JetTabs for Elementor प्लगइन में एक लोकल फ़ाइल इन्क्लूजन भेद्यता है। यह भेद्यता प्रमाणित हमलावरों को सर्वर पर मनमाने फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा तक पहुंच या कोड निष्पादन हो सकता है। यह भेद्यता JetTabs for Elementor के 2.2.3 से कम या बराबर संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए प्लगइन को नवीनतम संस्करण में अपडेट करना आवश्यक है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावरों को सर्वर पर मनमाने PHP कोड निष्पादित करने की अनुमति देती है, जिससे वे संवेदनशील डेटा तक पहुंच सकते हैं, सिस्टम को नियंत्रित कर सकते हैं, या दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं। हमलावर, जिनके पास योगदानकर्ता-स्तर की पहुंच या उससे ऊपर है, वे इस भेद्यता का फायदा उठा सकते हैं। एक सफल शोषण से वेबसाइट की सुरक्षा से समझौता हो सकता है और डेटा उल्लंघन हो सकता है। यह भेद्यता WordPress वेबसाइटों के लिए एक गंभीर खतरा है जो JetTabs for Elementor प्लगइन का उपयोग करते हैं। इस भेद्यता का उपयोग करके हमलावर वेबसाइट के डेटाबेस से संवेदनशील जानकारी चुरा सकते हैं, वेबसाइट पर दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, या वेबसाइट को पूरी तरह से नियंत्रित कर सकते हैं।
शोषण संदर्भ
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन भेद्यता की गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। हमलावरों द्वारा इस भेद्यता का सक्रिय रूप से शोषण किए जाने की संभावना है, खासकर उन वेबसाइटों पर जो नवीनतम सुरक्षा पैच के साथ अपडेट नहीं हैं।
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites using the JetTabs for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also at increased risk, as attackers may be able to upload malicious files more easily. Websites with outdated plugin versions are particularly vulnerable.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r 'switcher_preset' /var/www/html/wp-content/plugins/jet-tabs-for-elementor/• wordpress / composer / npm:
wp plugin list --status=all | grep jet-tabs-for-elementor• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/jet-tabs-for-elementor/ | grep switcher_presetहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.37% (59% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2024-7146 को कम करने के लिए, JetTabs for Elementor प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'switcher_preset' पैरामीटर के लिए इनपुट को मान्य करें। सुनिश्चित करें कि फ़ाइल अपलोड की अनुमति केवल विश्वसनीय स्रोतों से ही दी जाए और अपलोड की गई फ़ाइलों को सुरक्षित रूप से संग्रहीत किया जाए। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही संवेदनशील फ़ाइलों तक पहुंच हो। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन की कार्यक्षमता का परीक्षण करें।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin JetTabs for Elementor a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de inclusión de archivos locales.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2024-7146 — लोकल फ़ाइल इन्क्लूजन JetTabs for Elementor में क्या है?
CVE-2024-7146 JetTabs for Elementor प्लगइन में एक भेद्यता है जो हमलावरों को मनमाने PHP कोड निष्पादित करने की अनुमति देती है।
क्या मैं CVE-2024-7146 से JetTabs for Elementor में प्रभावित हूं?
यदि आप JetTabs for Elementor के 2.2.3 से कम या बराबर संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
मैं CVE-2024-7146 से JetTabs for Elementor को कैसे ठीक करूं?
JetTabs for Elementor प्लगइन को नवीनतम संस्करण में अपडेट करें।
क्या CVE-2024-7146 सक्रिय रूप से शोषण किया जा रहा है?
यह संभावना है कि हमलावर इस भेद्यता का सक्रिय रूप से शोषण कर रहे हैं, खासकर उन वेबसाइटों पर जो अपडेट नहीं हैं।
मैं JetTabs for Elementor के लिए CVE-2024-7146 के लिए आधिकारिक एडवाइजरी कहां पा सकता हूं?
JetTabs for Elementor वेबसाइट पर आधिकारिक एडवाइजरी देखें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।