मुफ्त स्कैन करें
HIGHCVE-2024-44016CVSS 7.5

WordPress Podiant प्लगइन <= 1.1 - लोकल फ़ाइल इन्क्लूज़न (Local File Inclusion) भेद्यता

प्लेटफ़ॉर्म

wordpress

घटक

podiant

में ठीक किया गया

1.1.1

AI Confidence: highNVDEPSS 0.3%समीक्षित: मई 2026
NVD पर देखें
सहेजें

Podiant वर्डप्रेस प्लगइन में एक पथ पारगमन (Path Traversal) भेद्यता की खोज की गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता PHP लोकल फ़ाइल समावेश (Local File Inclusion) का कारण बनती है। यह समस्या Podiant के संस्करण n/a से लेकर 1.1 तक के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 1.1.1 में अपडेट करके इस समस्या का समाधान किया जा सकता है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों को पढ़ने की अनुमति देती है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य महत्वपूर्ण जानकारी। हमलावर इस जानकारी का उपयोग सर्वर पर नियंत्रण हासिल करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर सर्वर के फ़ाइल सिस्टम में कहीं भी फ़ाइलों को शामिल कर सकते हैं, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह वर्डप्रेस प्लगइन के माध्यम से है, जो अक्सर वेबसाइटों के लिए एक महत्वपूर्ण प्रवेश बिंदु होता है।

शोषण संदर्भ

CVE-2024-44016 को अभी तक CISA KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण की कोई पुष्टि नहीं है। यह भेद्यता 2024-10-05 को प्रकाशित की गई थी।

कौन जोखिम में हैअनुवाद हो रहा है…

Websites using the Podiant plugin, particularly those running older versions (≤1.1), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin configurations and file permissions. Sites with weak access controls or outdated WordPress installations are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/podiant/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/podiant/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive --all | grep podiant

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.30% (53% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकpodiant
विक्रेताMark Steadman
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 1.11.1.1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Podiant प्लगइन को तुरंत संस्करण 1.1.1 में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना भी सुरक्षा को बेहतर बनाने में मदद कर सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के फ़ाइल सिस्टम को स्कैन करें और किसी भी असामान्य फ़ाइल या निर्देशिका की तलाश करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el plugin Podiant a una versión posterior a la 1.1. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la documentación del plugin o contacte al desarrollador para obtener más información.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2024-44016 — पथ पारगमन Podiant प्लगइन में क्या है?

CVE-2024-44016 Podiant वर्डप्रेस प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है। यह PHP लोकल फ़ाइल समावेश (Local File Inclusion) का कारण बनता है।

क्या मैं CVE-2024-44016 से Podiant प्लगइन में प्रभावित हूँ?

यदि आप Podiant प्लगइन के संस्करण 1.1 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2024-44016 से Podiant प्लगइन को कैसे ठीक करूँ?

Podiant प्लगइन को संस्करण 1.1.1 में अपडेट करके इस समस्या को ठीक करें।

क्या CVE-2024-44016 सक्रिय रूप से शोषण किया जा रहा है?

सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं।

मैं CVE-2024-44016 के लिए आधिकारिक Podiant सलाहकार कहाँ पा सकता हूँ?

आधिकारिक सलाहकार के लिए Podiant वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जाँच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें