WordPress Instant Chat WP प्लगइन <= 1.0.5 - लोकल फ़ाइल इन्क्लूज़न (Local File Inclusion) भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। हमलावर इस जानकारी का उपयोग सिस्टम पर नियंत्रण प्राप्त करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर आसानी से सिस्टम के भीतर आगे बढ़ सकते हैं और अन्य कमजोरियों का फायदा उठा सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह WordPress वेबसाइटों को प्रभावित करती है, जो अक्सर महत्वपूर्ण डेटा और अनुप्रयोगों को होस्ट करती हैं।

WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosure

1. 2024-10-05Disclosure

   disclosure

1. आरक्षित2024-08-18
2. प्रकाशित2024-10-05
3. संशोधित2024-10-07
4. EPSS अद्यतन2026-04-02

CVE-2024-44018 को कम करने के लिए, Instant Chat Floating Button प्लगइन को तुरंत संस्करण 1.0.6 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप प्लगइन की फ़ाइल अनुमतियों को सख्त करके और सर्वर पर अनावश्यक फ़ाइलों को हटाकर जोखिम को कम कर सकते हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन की फ़ाइलों की अखंडता की जांच करें।