प्लेटफ़ॉर्म
wordpress
घटक
homey-login-register
में ठीक किया गया
2.4.1
Homey Login Register प्लगइन, जो वर्डप्रेस के लिए बनाया गया है, में विशेषाधिकार वृद्धि की भेद्यता (vulnerability) पाई गई है। यह भेद्यता हमलावरों को बिना प्रमाणीकरण के व्यवस्थापक भूमिका प्राप्त करने की अनुमति देती है, जिससे सिस्टम पर नियंत्रण खोने का खतरा है। यह भेद्यता Homey Login Register के संस्करण 2.4.0 और उससे पहले के संस्करणों को प्रभावित करती है। नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों के लिए वर्डप्रेस वेबसाइट पर पूर्ण नियंत्रण प्राप्त करना बेहद आसान बना देती है। हमलावर एक नया खाता बनाकर व्यवस्थापक (administrator) की भूमिका असाइन कर सकते हैं, जिससे उन्हें वेबसाइट की सभी सेटिंग्स बदलने, फ़ाइलें अपलोड करने और हटाने, और डेटाबेस में हेरफेर करने की क्षमता मिल जाएगी। इससे वेबसाइट की सुरक्षा से समझौता हो सकता है, संवेदनशील जानकारी चोरी हो सकती है, और वेबसाइट का उपयोग दुर्भावनापूर्ण गतिविधियों के लिए किया जा सकता है। इस भेद्यता का प्रभाव बहुत व्यापक हो सकता है, खासकर उन वेबसाइटों के लिए जो महत्वपूर्ण डेटा संग्रहीत करती हैं या ऑनलाइन लेनदेन करती हैं। यह भेद्यता लॉग4शेल जैसी अन्य गंभीर भेद्यताओं के समान है, क्योंकि यह हमलावरों को सिस्टम पर अनधिकृत पहुंच प्रदान करती है।
यह भेद्यता अभी तक KEV (Know Exploited Vulnerabilities) में शामिल नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसमें शामिल होने की संभावना है। EPSS (Exploit Prediction Scoring System) स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की आसानी को दर्शाता है। यह भेद्यता 2025-03-05 को प्रकाशित की गई थी।
WordPress websites utilizing the Homey Login Register plugin, particularly those with limited security hardening or outdated plugin versions, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are also particularly vulnerable. Sites relying on this plugin for user registration without robust role-based access controls face the highest exposure.
• wordpress / composer / npm:
grep -r 'wp_set_current_user' /var/www/html/wp-content/plugins/homey-login-register/• wordpress / composer / npm:
wp plugin list --status=all | grep 'homey-login-register'• wordpress / composer / npm:
wp plugin update homey-login-register --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.48% (65% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Homey Login Register प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वर्डप्रेस में उपयोगकर्ता भूमिकाओं को प्रबंधित करने के लिए एक प्लगइन का उपयोग कर सकते हैं जो नए उपयोगकर्ताओं को व्यवस्थापक भूमिका असाइन करने से रोकता है। इसके अतिरिक्त, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो इस भेद्यता का फायदा उठाने के प्रयासों को ब्लॉक करता है। प्लगइन फ़ाइलों में अनधिकृत परिवर्तनों का पता लगाने के लिए नियमित रूप से सुरक्षा स्कैन चलाएं।
Homey Login Register प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें। यह गैर-प्रमाणीकृत उपयोगकर्ताओं को व्यवस्थापक एक्सेस प्राप्त करने की अनुमति देने वाले विशेषाधिकार वृद्धि भेद्यता को ठीक कर देगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-11951 Homey Login Register प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है जो हमलावरों को बिना प्रमाणीकरण के व्यवस्थापक भूमिका प्राप्त करने की अनुमति देती है।
यदि आप Homey Login Register के संस्करण 2.4.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Homey Login Register प्लगइन को नवीनतम संस्करण में अपडेट करें।
सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट मौजूद हैं, जो इस भेद्यता का फायदा उठाने की आसानी को दर्शाता है।
आधिकारिक सलाहकार के लिए Homey Login Register वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।