प्लेटफ़ॉर्म
wordpress
घटक
wp-responsive-slider-with-lightbox
में ठीक किया गया
1.0.1
Thumbnail Slider With Lightbox प्लगइन में क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है, जो संस्करण 1.0 को प्रभावित करती है। इस भेद्यता के कारण, हमलावर साइट प्रशासक को धोखा देकर मनमाना फ़ाइलें अपलोड कर सकते हैं। यह भेद्यता गैर-प्रमाणीकृत उपयोगकर्ताओं को प्लगइन के 'addedit' कार्यक्षमता का दुरुपयोग करने की अनुमति देती है। WordPress वेबसाइटों को तत्काल कार्रवाई करने की आवश्यकता है।
यह CSRF भेद्यता हमलावरों को साइट प्रशासक की अनुमति के बिना मनमाना फ़ाइलें अपलोड करने की क्षमता प्रदान करती है। यह दुर्भावनापूर्ण कोड, जैसे कि वेबशेल अपलोड करने का मार्ग खोल सकता है, जिससे हमलावर वेबसाइट पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। इसके परिणामस्वरूप डेटा चोरी, वेबसाइट की विरूपण, या अन्य गंभीर परिणाम हो सकते हैं। चूंकि यह भेद्यता गैर-प्रमाणीकृत उपयोगकर्ताओं को प्रभावित करती है, इसलिए यह वेबसाइट की सुरक्षा के लिए एक महत्वपूर्ण खतरा है। इस भेद्यता का शोषण वेबसाइट की प्रतिष्ठा को नुकसान पहुंचा सकता है और उपयोगकर्ताओं के डेटा की गोपनीयता से समझौता कर सकता है।
CVE-2023-5820 को 2023-10-27 को सार्वजनिक रूप से प्रकट किया गया था। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन CSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। इस भेद्यता की संभावना मध्यम है क्योंकि यह एक व्यापक रूप से उपयोग किए जाने वाले प्लगइन को प्रभावित करती है और इसका शोषण अपेक्षाकृत आसान हो सकता है।
WordPress websites using the Thumbnail Slider With Lightbox plugin version 1.0 are at risk. Sites with administrative accounts that are frequently used or susceptible to phishing attacks are particularly vulnerable. Shared hosting environments where plugin updates are not managed by the user are also at increased risk.
• wordpress / composer / npm:
grep -r 'addedit' /var/www/html/wp-content/plugins/thumbnail-slider-with-lightbox/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=addedit&new_filename=malicious.php | grep -i '200 OK'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CVSS वेक्टर
CVE-2023-5820 को कम करने के लिए, प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो CSRF हमलों को ब्लॉक करता है। इसके अतिरिक्त, सुनिश्चित करें कि साइट प्रशासकों को संदिग्ध लिंक पर क्लिक करने से रोकने के लिए CSRF सुरक्षा के बारे में प्रशिक्षित किया जाए। प्लगइन के 'addedit' कार्यक्षमता के लिए सख्त इनपुट सत्यापन लागू करें। अपडेट के बाद, जांचें कि nonce सत्यापन ठीक से काम कर रहा है।
थंबनेल स्लाइडर विद लाइटबॉक्स प्लगइन को 1.0 से आगे के संस्करण में अपडेट करें। यह CSRF भेद्यता को ठीक करेगा जो हमलावरों को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए एक व्यवस्थापक को धोखा देने पर मनमाना फ़ाइलें अपलोड करने की अनुमति देता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2023-5820 WordPress के Thumbnail Slider With Lightbox प्लगइन के संस्करण 1.0 में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जो हमलावरों को मनमाना फ़ाइलें अपलोड करने की अनुमति देती है।
यदि आप Thumbnail Slider With Lightbox प्लगइन के संस्करण 1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2023-5820 को ठीक करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए, कृपया WordPress प्लगइन रिपॉजिटरी या प्लगइन डेवलपर की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।