LA-Studio Element Kit for Elementor <= 1.3.8.1 - प्रमाणित (योगदानकर्ता+) स्थानीय फ़ाइल समावेशन
प्लेटफ़ॉर्म
wordpress
घटक
lastudio-element-kit
में ठीक किया गया
1.3.9
LA-Studio Element Kit for Elementor प्लगइन में एक लोकल फ़ाइल समावेशन (LFI) भेद्यता पाई गई है, जो संस्करण 1.3.8.1 और उससे पहले के संस्करणों को प्रभावित करती है। यह भेद्यता प्रमाणित हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है या कोड निष्पादन प्राप्त हो सकता है। इस भेद्यता को ठीक करने के लिए, प्लगइन को संस्करण 1.3.8.1 या उच्चतर में अपग्रेड करने की अनुशंसा की जाती है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावरों को WordPress वेबसाइट पर मनमाने PHP कोड निष्पादित करने की अनुमति देती है, जिससे वेबसाइट की सुरक्षा से समझौता हो सकता है। हमलावर संवेदनशील डेटा, जैसे उपयोगकर्ता नाम, पासवर्ड और अन्य गोपनीय जानकारी तक पहुंच प्राप्त कर सकते हैं। वे वेबसाइट को भी संशोधित कर सकते हैं या दुर्भावनापूर्ण सामग्री अपलोड कर सकते हैं। चूंकि भेद्यता प्रमाणित उपयोगकर्ताओं के लिए खुली है, इसलिए कम विशेषाधिकार वाले हमलावरों (जैसे कि योगदानकर्ता स्तर) के लिए भी शोषण संभव है। यह भेद्यता वेबसाइट की अखंडता और उपलब्धता को गंभीर रूप से खतरे में डाल सकती है।
शोषण संदर्भ
CVE-2024-5349 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता को देखते हुए, भविष्य में शोषण की संभावना है। यह भेद्यता सार्वजनिक रूप से ज्ञात है और एक सार्वजनिक प्रमाण-अवधारणा (PoC) उपलब्ध हो सकती है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। NVD में प्रकाशन तिथि 2024-07-02 है।
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites using the LA-Studio Element Kit for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file uploads and execution are especially vulnerable, as attackers may be able to leverage this vulnerability to compromise other sites on the same server.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r 'map_style' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/la-studio-element-kit-for-elementor/map_style.php• wordpress / composer / npm:
wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.49% (65% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 10Kज्ञात
- प्लगइन रेटिंग
- 5.0
- WordPress आवश्यक
- 5.2+
- संगत संस्करण तक
- 6.9.0
- PHP आवश्यक
- 7.2+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2024-5349 को कम करने के लिए, सबसे महत्वपूर्ण कदम LA-Studio Element Kit for Elementor प्लगइन को संस्करण 1.3.8.1 या उच्चतर में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल समावेशन को रोकने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, 'map_style' पैरामीटर के लिए इनपुट सत्यापन को मजबूत करना और फ़ाइल अपलोड को प्रतिबंधित करना भी मदद कर सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के फ़ंक्शन को ध्यान से जांचें।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin LA-Studio Element Kit for Elementor a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2024-5349 — फ़ाइल समावेशन LA-Studio Element Kit में क्या है?
CVE-2024-5349 LA-Studio Element Kit for Elementor प्लगइन में एक लोकल फ़ाइल समावेशन (LFI) भेद्यता है जो हमलावरों को मनमाने PHP कोड निष्पादित करने की अनुमति देती है।
क्या मैं CVE-2024-5349 में LA-Studio Element Kit में प्रभावित हूं?
यदि आप LA-Studio Element Kit for Elementor प्लगइन के संस्करण 1.3.8.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
मैं CVE-2024-5349 में LA-Studio Element Kit में कैसे ठीक करूं?
CVE-2024-5349 को ठीक करने के लिए, LA-Studio Element Kit for Elementor प्लगइन को संस्करण 1.3.8.1 या उच्चतर में अपग्रेड करें।
क्या CVE-2024-5349 सक्रिय रूप से शोषण किया जा रहा है?
CVE-2024-5349 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भविष्य में शोषण की संभावना है।
मैं CVE-2024-5349 के लिए आधिकारिक LA-Studio Element Kit सलाहकार कहां पा सकता हूं?
कृपया LA-Studio Element Kit वेबसाइट पर आधिकारिक सलाहकार देखें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।