MP3 Sticky Player <= 8.0 - प्रमाणीकृत मनमाना फ़ाइल पढ़ना/डाउनलोड

यह भेद्यता हमलावरों को सर्वर पर मनमानी फ़ाइलों तक पहुंचने की अनुमति देती है। एक हमलावर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप या अन्य संवेदनशील डेटा तक पहुंच सकता है। इस जानकारी का उपयोग आगे के हमलों को करने, सिस्टम को नियंत्रित करने या डेटा को चुराने के लिए किया जा सकता है। चूंकि भेद्यता बिना प्रमाणीकरण के शोषण योग्य है, इसलिए किसी भी उपयोगकर्ता के लिए जोखिम अधिक है। यह भेद्यता WordPress वेबसाइटों के लिए एक महत्वपूर्ण खतरा है, खासकर यदि वे संवेदनशील जानकारी संग्रहीत करते हैं।

WordPress websites utilizing the MP3 Sticky Player plugin, particularly those running versions prior to 8.0, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and server configurations. Sites that store sensitive data on the same server as the WordPress installation face a heightened risk of data exposure.

• wordpress / composer / npm:

wp plugin list | grep 'MP3 Sticky Player'

• wordpress / composer / npm:

wp plugin update MP3 Sticky Player --version=8.0

• generic web:

curl -I http://your-wordpress-site.com/wp-content/downloader.php?file=../../../../etc/passwd

• generic web: Check access logs for requests containing ../ sequences targeting downloader.php.

1. 2024-11-23Disclosure

   disclosure

1. आरक्षित2024-11-04
2. प्रकाशित2024-11-23
3. संशोधित2024-11-26
4. EPSS अद्यतन2026-04-02

सबसे प्रभावी शमन उपाय MP3 Sticky Player प्लगइन को नवीनतम संस्करण में अपडेट करना है। चूंकि विक्रेता ने समान संस्करण में पैच जारी किया है, इसलिए सुनिश्चित करें कि आप नवीनतम संस्करण स्थापित करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'content/downloader.php' फ़ाइल तक पहुंच को ब्लॉक करने का प्रयास करें। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके और अनावश्यक फ़ाइलों को हटाकर सर्वर की सुरक्षा को मजबूत करें।