प्लेटफ़ॉर्म
wordpress
घटक
profilepress
में ठीक किया गया
3.0.1
CVE-2021-34622 ProfilePress WordPress प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है। यह भेद्यता हमलावरों को उपयोगकर्ता प्रोफ़ाइल संपादित करते समय व्यवस्थापक के विशेषाधिकार प्राप्त करने की अनुमति देती है, जिससे वे सिस्टम पर अनधिकृत नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता ProfilePress प्लगइन के संस्करण 3.0.0 से 3.1.3 तक के संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक किया जा सकता है।
यह भेद्यता हमलावरों के लिए अत्यंत हानिकारक हो सकती है, क्योंकि वे व्यवस्थापक के विशेषाधिकार प्राप्त करके वेबसाइट के डेटा और कार्यों पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। वे संवेदनशील जानकारी चुरा सकते हैं, वेबसाइट को संशोधित कर सकते हैं, या दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने या उपयोगकर्ताओं को लक्षित करने के लिए भी किया जा सकता है। चूंकि यह WordPress प्लगइन में है, इसलिए वेबसाइट की सुरक्षा से समझौता हो सकता है, जिससे डेटा उल्लंघन और अन्य गंभीर परिणाम हो सकते हैं।
CVE-2021-34622 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य हो सकता है। यह भेद्यता सार्वजनिक रूप से ज्ञात है, और एक सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध होने की संभावना है, जिससे हमलावरों के लिए इसका शोषण करना आसान हो जाता है। CISA और NVD ने इस भेद्यता पर अभी तक कोई आधिकारिक कार्रवाई नहीं की है।
WordPress sites utilizing the ProfilePress plugin, particularly those running versions 3.0.0 through 3.1.3, are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or those that haven't implemented proper user access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'EditUserProfile.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep ProfilePress• wordpress / composer / npm:
wp plugin update ProfilePress --all• generic web:
curl -I https://your-wordpress-site.com/wp-admin/profile.php | grep -i 'server' # Check for unusual server headers after profile editsdisclosure
एक्सप्लॉइट स्थिति
EPSS
64.97% (98% शतमक)
CVSS वेक्टर
CVE-2021-34622 को कम करने के लिए, सबसे महत्वपूर्ण कदम ProfilePress प्लगइन को नवीनतम संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी उपाय के रूप में, उपयोगकर्ता प्रोफ़ाइल संपादन क्षमताओं को सीमित करने पर विचार करें ताकि केवल अधिकृत उपयोगकर्ता ही व्यवस्थापक विशेषाधिकार प्राप्त कर सकें। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण अनुरोधों को ब्लॉक किया जा सकता है। प्लगइन अपडेट के बाद, यह सत्यापित करें कि विशेषाधिकार वृद्धि भेद्यता अब मौजूद नहीं है, उपयोगकर्ता प्रोफ़ाइल संपादन कार्यों का परीक्षण करके।
ProfilePress प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें। यह भेद्यता अनधिकृत उपयोगकर्ताओं को व्यवस्थापक विशेषाधिकारों को बढ़ाने की अनुमति देती है, इसलिए जल्द से जल्द अपडेट लागू करना महत्वपूर्ण है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2021-34622 ProfilePress WordPress प्लगइन में एक भेद्यता है जो हमलावरों को व्यवस्थापक विशेषाधिकार प्राप्त करने की अनुमति देती है।
यदि आप ProfilePress प्लगइन के संस्करण 3.0.0 से 3.1.3 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ProfilePress प्लगइन को नवीनतम संस्करण में अपडेट करें।
CVE-2021-34622 के सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य हो सकता है।
ProfilePress वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।