WordPress Realtyna Organic IDX plugin + WPL Real Estate plugin <= 4.14.4 - Unauthenticated SQL Injection vulnerability
अनुवाद हो रहा है…प्लेटफ़ॉर्म
wordpress
घटक
real-estate-listing-realtyna-wpl
में ठीक किया गया
4.14.5
CVE-2024-32128 identifies a SQL Injection vulnerability within the Realtyna Organic IDX plugin and the WPL Real Estate plugin. This flaw allows attackers to inject malicious SQL code, potentially compromising sensitive data and gaining unauthorized access to the WordPress database. The vulnerability impacts versions up to 4.14.4, and a patch is available in version 4.14.5.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
Successful exploitation of this SQL Injection vulnerability could allow an attacker to bypass authentication, read sensitive data (such as user credentials, property listings, and financial information), modify database records, or even execute arbitrary commands on the server. The blast radius extends to any data stored within the WordPress database managed by the Realtyna IDX plugin. A skilled attacker could leverage this to gain complete control over the website and potentially pivot to other systems on the network. This vulnerability shares characteristics with other SQL injection flaws, where improper input validation leads to code execution within the database context.
शोषण संदर्भअनुवाद हो रहा है…
This vulnerability was publicly disclosed on April 15, 2024. While no active exploitation campaigns have been definitively confirmed, the CRITICAL CVSS score (9.3) indicates a high probability of exploitation. The vulnerability is not currently listed on CISA KEV. Public proof-of-concept exploits are likely to emerge given the ease of exploitation associated with SQL Injection vulnerabilities.
कौन जोखिम में हैअनुवाद हो रहा है…
Websites utilizing the Realtyna Organic IDX plugin and WPL Real Estate plugin, particularly those running older versions (≤4.14.4), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Sites with custom integrations or extensions built on top of the Realtyna IDX plugin may also be affected.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/realtyna-organic-idx/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=idx_get_listings | grep SQLहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
11.04% (93% शतमक)
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
- Availability
- निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 2Kज्ञात
- प्लगइन रेटिंग
- 4.7
- WordPress आवश्यक
- 4.7.0+
- संगत संस्करण तक
- 7.0.0
- PHP आवश्यक
- 7.4+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation is to immediately upgrade the Realtyna Organic IDX plugin and WPL Real Estate plugin to version 4.14.5 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider implementing a Web Application Firewall (WAF) rule to filter potentially malicious SQL queries targeting the vulnerable endpoints. Specifically, look for patterns involving single quotes, double quotes, semicolons, and SQL keywords in user-supplied input. Regularly review database access logs for suspicious activity and implement strong password policies for all WordPress users.
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin Realtyna Organic IDX plugin + WPL Real Estate plugin a la última versión disponible. La vulnerabilidad de inyección SQL ha sido corregida en versiones posteriores a la 4.14.4. Consulte la página del plugin en WordPress para obtener la versión más reciente.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2024-32128 — SQL Injection in Realtyna IDX Plugin?
CVE-2024-32128 is a critical SQL Injection vulnerability affecting Realtyna Organic IDX and WPL Real Estate plugins, allowing attackers to inject malicious SQL code and potentially access sensitive data.
Am I affected by CVE-2024-32128 in Realtyna IDX Plugin?
You are affected if you are using Realtyna Organic IDX or WPL Real Estate plugin versions 4.14.4 or earlier. Immediate action is required.
How do I fix CVE-2024-32128 in Realtyna IDX Plugin?
Upgrade the Realtyna Organic IDX and WPL Real Estate plugin to version 4.14.5 or later to patch the vulnerability. Consider WAF rules as a temporary workaround.
Is CVE-2024-32128 being actively exploited?
While no confirmed active exploitation campaigns are known, the CRITICAL severity suggests a high likelihood of exploitation. Monitor your systems closely.
Where can I find the official Realtyna advisory for CVE-2024-32128?
Refer to the Realtyna website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-32128.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।