WordPress MakeStories (for Google Web Stories) प्लगइन <= 3.0.3 - मनमाना फ़ाइल डाउनलोड और SSRF भेद्यता
प्लेटफ़ॉर्म
wordpress
घटक
makestories-helper
में ठीक किया गया
3.0.4
CVE-2024-38746 एक गंभीर भेद्यता है जो MakeStories (for Google Web Stories) प्लगइन में पाई गई है। यह एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जिसका अर्थ है कि एक हमलावर सर्वर को उनकी ओर से अनुरोध करने के लिए मजबूर कर सकता है, संभावित रूप से आंतरिक संसाधनों तक पहुंच प्राप्त कर सकता है। यह भेद्यता MakeStories के संस्करणों 3.0.3 और उससे पहले को प्रभावित करती है। संस्करण 3.0.4 में इस समस्या का समाधान किया गया है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
इस SSRF भेद्यता का उपयोग करके, एक हमलावर आंतरिक नेटवर्क संसाधनों तक पहुंच प्राप्त कर सकता है जो आमतौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। वे संवेदनशील डेटा तक पहुंच सकते हैं, आंतरिक सेवाओं के साथ इंटरैक्ट कर सकते हैं, या यहां तक कि सर्वर पर कमांड निष्पादित करने का प्रयास कर सकते हैं। हमलावर आंतरिक डेटाबेस, व्यवस्थापन पैनल या अन्य संवेदनशील प्रणालियों तक पहुंच प्राप्त कर सकते हैं। इस भेद्यता का शोषण आंतरिक नेटवर्क पर आगे के हमलों के लिए एक लॉन्चिंग पैड के रूप में किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
शोषण संदर्भ
यह भेद्यता सार्वजनिक रूप से 2024-08-01 को उजागर की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन SSRF भेद्यताएँ अक्सर लक्षित हमलों के लिए उपयोग की जाती हैं। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जिससे इसका शोषण आसान हो सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है।
कौन जोखिम में हैअनुवाद हो रहा है…
Websites utilizing MakeStories for Google Web Stories, particularly those running versions prior to 3.0.4, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that rely on MakeStories to integrate with internal or external APIs are also at higher risk.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/makestories/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/makestories/some-file.php?url=../sensitive-file• wordpress / composer / npm:
wp plugin list --status=active | grep makestoriesहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.79% (74% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 700
- प्लगइन रेटिंग
- 4.3
- WordPress आवश्यक
- 4.0+
- संगत संस्करण तक
- 6.4.8
- PHP आवश्यक
- 5.6+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
यदि आप MakeStories (for Google Web Stories) के संस्करण 3.0.3 या उससे पहले का उपयोग कर रहे हैं, तो तुरंत संस्करण 3.0.4 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को कम करने का प्रयास करें। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो आंतरिक संसाधनों तक पहुंचने का प्रयास करते हैं। इसके अतिरिक्त, MakeStories प्लगइन की कॉन्फ़िगरेशन सेटिंग्स की समीक्षा करें और सुनिश्चित करें कि कोई भी अनावश्यक सुविधाएँ अक्षम हैं।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin MakeStories (for Google Web Stories) a una versión posterior a la 3.0.3. Esto solucionará las vulnerabilidades de Path Traversal y Server Side Request Forgery. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2024-38746 — SSRF MakeStories (for Google Web Stories) क्या है?
CVE-2024-38746 MakeStories प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
क्या मैं CVE-2024-38746 से MakeStories (for Google Web Stories) प्रभावित हूं?
यदि आप MakeStories के संस्करण 3.0.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
मैं CVE-2024-38746 को MakeStories (for Google Web Stories) में कैसे ठीक करूं?
MakeStories को संस्करण 3.0.4 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करके SSRF हमलों को कम करें।
क्या CVE-2024-38746 सक्रिय रूप से शोषण किया जा रहा है?
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन SSRF भेद्यताएँ अक्सर लक्षित हमलों के लिए उपयोग की जाती हैं।
मैं CVE-2024-38746 के लिए आधिकारिक MakeStories सलाहकार कहां पा सकता हूं?
कृपया MakeStories वेबसाइट पर जाएं या नवीनतम जानकारी के लिए प्लगइन के अपडेट की जांच करें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।