प्लेटफ़ॉर्म
wordpress
घटक
wp-hide-security-enhancer
में ठीक किया गया
2.5.2
CVE-2024-11585 एक गंभीर भेद्यता है जो WP Hide & Security Enhancer प्लगइन को प्रभावित करती है, जो वर्डप्रेस के लिए है। यह भेद्यता अनधिकृत फ़ाइल एक्सेस की अनुमति देती है, जिससे हमलावर सर्वर पर मनमाना फ़ाइल सामग्री को हटा सकते हैं। यह भेद्यता प्लगइन के संस्करण 2.5.1 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए प्लगइन को नवीनतम संस्करण में अपडेट करना आवश्यक है।
यह भेद्यता हमलावरों को वर्डप्रेस वेबसाइट के सर्वर पर मनमाना फ़ाइल सामग्री को हटाने की क्षमता प्रदान करती है। इसका मतलब है कि वे महत्वपूर्ण सिस्टम फ़ाइलों को हटा सकते हैं, जिससे वेबसाइट पूरी तरह से निष्क्रिय हो सकती है। इसके अतिरिक्त, हमलावर संवेदनशील डेटा वाली फ़ाइलों को हटा सकते हैं, जिससे डेटा हानि हो सकती है। इस भेद्यता का उपयोग वेबसाइट की अखंडता और गोपनीयता को खतरे में डालने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह अनधिकृत हमलावरों द्वारा शोषण किया जा सकता है, जिसके लिए किसी प्रमाणीकरण की आवश्यकता नहीं होती है।
CVE-2024-11585 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो इस भेद्यता का फायदा उठाने के तरीके दिखाते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Websites using the WP Hide & Security Enhancer plugin, particularly those running older versions (≤2.5.1), are at risk. Shared hosting environments are particularly vulnerable as they often have limited file permission controls, making it easier for attackers to exploit this vulnerability.
• wordpress / composer / npm:
grep -r 'file_process.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "WP Hide & Security Enhancer"• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-hide-security-enhancer/file-process.php?file=../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
2.01% (84% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-11585 के प्रभाव को कम करने के लिए, सबसे पहले WP Hide & Security Enhancer प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो प्लगइन को अस्थायी रूप से अक्षम करने पर विचार करें। फ़ायरवॉल या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल एक्सेस प्रयासों को ब्लॉक करें। सर्वर-साइड फ़ाइल अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं को ही फ़ाइलों तक पहुंचने की अनुमति हो। नियमित रूप से वेबसाइट फ़ाइलों का बैकअप लें ताकि डेटा हानि की स्थिति में पुनर्स्थापित किया जा सके। अपडेट के बाद, जांचें कि फ़ाइल एक्सेस नियंत्रण ठीक से काम कर रहा है।
Actualice el plugin WP Hide & Security Enhancer a la última versión disponible. La vulnerabilidad que permite la eliminación de contenido de archivos arbitrarios sin autenticación se ha corregido en versiones posteriores a la 2.5.1.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-11585 WP Hide & Security Enhancer प्लगइन में एक भेद्यता है जो हमलावरों को सर्वर पर मनमाना फ़ाइल सामग्री हटाने की अनुमति देती है।
यदि आप WP Hide & Security Enhancer प्लगइन के संस्करण 2.5.1 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WP Hide & Security Enhancer प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो प्लगइन को अस्थायी रूप से अक्षम करें।
CVE-2024-11585 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए एक संभावित लक्ष्य है।
अधिक जानकारी के लिए WP Hide & Security Enhancer वेबसाइट पर जाएं या NVD डेटाबेस देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।