प्लेटफ़ॉर्म
wordpress
घटक
fileorganizer
में ठीक किया गया
1.1.5
FileOrganizer – Manage WordPress and Website Files प्लगइन में एक लोकल जावास्क्रिप्ट फाइल शामिल (LFI) भेद्यता पाई गई है। यह भेद्यता हमलावरों को प्रशासक स्तर के एक्सेस के साथ मनमानी जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा चोरी हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता FileOrganizer के संस्करण 1.1.4 से कम या बराबर वाले इंस्टॉलेशन को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपग्रेड करके इस भेद्यता को ठीक किया जा सकता है।
यह भेद्यता हमलावरों को WordPress वेबसाइट पर मनमानी जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है, जिससे गंभीर परिणाम हो सकते हैं। हमलावर संवेदनशील डेटा, जैसे उपयोगकर्ता नाम, पासवर्ड और क्रेडिट कार्ड नंबर चुरा सकते हैं। वे वेबसाइट की सामग्री को भी बदल सकते हैं या दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं। चूंकि हमलावर को केवल प्रशासक स्तर के एक्सेस की आवश्यकता होती है, इसलिए यह भेद्यता उन वेबसाइटों के लिए एक महत्वपूर्ण खतरा है जिनमें कमजोर पासवर्ड या अन्य सुरक्षा कमजोरियां हैं। इस भेद्यता का उपयोग वेबसाइट को पूरी तरह से नियंत्रित करने के लिए किया जा सकता है, जिससे डेटा हानि, प्रतिष्ठा को नुकसान और कानूनी दायित्व हो सकता है।
CVE-2024-11010 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं मिले हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किया जा सकता है। यह भेद्यता 2024-12-07 को प्रकाशित हुई थी।
WordPress websites utilizing the FileOrganizer plugin, particularly those with administrator accounts that have weak passwords or are otherwise vulnerable to compromise, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'default_lang' /var/www/html/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/• wordpress / composer / npm:
wp plugin list --status=all | grep fileorganizer• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/ | grep default_langdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.30% (53% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-11010 को कम करने के लिए, FileOrganizer प्लगइन को तुरंत नवीनतम संस्करण में अपग्रेड करें। यदि अपग्रेड करने में समस्या आ रही है, तो प्लगइन को अस्थायी रूप से निष्क्रिय करने पर विचार करें। इसके अतिरिक्त, सुनिश्चित करें कि सभी उपयोगकर्ता मजबूत पासवर्ड का उपयोग कर रहे हैं और नियमित रूप से अपने पासवर्ड बदलते हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'default_lang' पैरामीटर के माध्यम से फ़ाइल शामिल करने के प्रयासों को ब्लॉक किया जा सकता है। WordPress सुरक्षा प्लगइन का उपयोग करके वेबसाइट को स्कैन करें और किसी भी संदिग्ध गतिविधि की निगरानी करें। अपग्रेड के बाद, सुनिश्चित करें कि प्लगइन ठीक से काम कर रहा है और कोई त्रुटि नहीं है।
Actualice el plugin FileOrganizer a la última versión disponible. La vulnerabilidad permite la inclusión de archivos JavaScript locales, lo que podría comprometer la seguridad del sitio web.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-11010 FileOrganizer प्लगइन में एक लोकल जावास्क्रिप्ट फाइल शामिल (LFI) भेद्यता है, जो हमलावरों को मनमानी जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है।
यदि आप FileOrganizer प्लगइन के संस्करण 1.1.4 से कम या बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
FileOrganizer प्लगइन को नवीनतम संस्करण में अपग्रेड करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किया जा सकता है।
आधिकारिक सलाहकार जानकारी के लिए FileOrganizer प्लगइन के डेवलपर की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।