प्लेटफ़ॉर्म
wordpress
घटक
ultimate-video-player
में ठीक किया गया
10.0.1
CVE-2024-10804 Ultimate Video Player WordPress & WooCommerce प्लगइन में एक Arbitrary File Access भेद्यता है। इस भेद्यता का फायदा उठाकर, अनधिकृत हमलावर सर्वर पर मौजूद मनमानी फ़ाइलों को पढ़ सकते हैं, जिससे संवेदनशील जानकारी उजागर हो सकती है। यह भेद्यता प्लगइन के संस्करण 10.0 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को सर्वर पर मनमानी फ़ाइलों तक पहुंचने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस बैकअप और अन्य संवेदनशील जानकारी शामिल हो सकती है। हमलावर इस जानकारी का उपयोग सिस्टम को समझौता करने, डेटा चोरी करने या सेवा से इनकार करने के लिए कर सकते हैं। एक सफल शोषण से गंभीर डेटा उल्लंघन और सिस्टम की सुरक्षा से समझौता हो सकता है। चूंकि यह भेद्यता अनधिकृत पहुंच की अनुमति देती है, इसलिए इसका उपयोग आगे के हमलों के लिए किया जा सकता है, जैसे कि वेबशेल अपलोड या डेटाबेस में बदलाव।
CVE-2024-10804 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण की पुष्टि नहीं हुई है। यह भेद्यता 2025-03-07 को प्रकाशित हुई थी।
Websites utilizing the Ultimate Video Player plugin, particularly those running older versions (≤10.0), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. WordPress sites with sensitive data stored on the same server are also at increased risk.
• wordpress / composer / npm:
grep -r 'content/downloader.php' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/content/downloader.php | grep -i 'content-type'• wordpress / composer / npm:
wp plugin list | grep "Ultimate Video Player"disclosure
एक्सप्लॉइट स्थिति
EPSS
2.55% (85% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन प्लगइन को नवीनतम संस्करण में अपडेट करना है, जिसमें भेद्यता को ठीक किया गया है। यदि तत्काल अपडेट संभव नहीं है, तो फ़ाइल एक्सेस को सीमित करने के लिए अस्थायी उपाय किए जा सकते हैं। उदाहरण के लिए, वेब सर्वर कॉन्फ़िगरेशन में फ़ाइल एक्सेस प्रतिबंधों को लागू किया जा सकता है या फ़ायरवॉल नियमों का उपयोग करके अनधिकृत पहुंच को अवरुद्ध किया जा सकता है। इसके अतिरिक्त, प्लगइन फ़ाइलों की नियमित रूप से निगरानी करना और किसी भी संदिग्ध गतिविधि की जांच करना महत्वपूर्ण है। सुनिश्चित करें कि फ़ाइल अनुमतियाँ सही ढंग से सेट हैं और केवल आवश्यक उपयोगकर्ताओं के पास ही फ़ाइलों तक पहुंच है। अपडेट के बाद, फ़ाइल एक्सेस प्रतिबंधों की समीक्षा करें और पुष्टि करें कि वे अभी भी प्रभावी हैं।
Actualice el plugin Ultimate Video Player WordPress & WooCommerce Plugin a la última versión disponible. Esto solucionará la vulnerabilidad de descarga de archivos arbitrarios no autenticada.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-10804 Ultimate Video Player प्लगइन में एक भेद्यता है जो हमलावरों को मनमानी फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप Ultimate Video Player प्लगइन के संस्करण 10.0 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो फ़ाइल एक्सेस को सीमित करने के लिए अस्थायी उपाय करें।
सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन सार्वजनिक POC मौजूद हो सकते हैं।
आधिकारिक सलाहकार के लिए Ultimate Video Player वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।