प्लेटफ़ॉर्म
wordpress
घटक
mipl-wc-multisite-sync
में ठीक किया गया
1.1.6
MIPL WC Multisite Sync प्लगइन में एक Arbitrary File Access भेद्यता पाई गई है, जो संस्करण 1.1.5 और उससे पहले के संस्करणों को प्रभावित करती है। इस भेद्यता का फायदा उठाकर, कोई भी हमलावर बिना किसी प्रमाणीकरण के सर्वर पर मौजूद मनमानी फ़ाइलों को पढ़ सकता है, जिससे संवेदनशील डेटा उजागर हो सकता है। 2025-01-07 को यह भेद्यता सार्वजनिक की गई थी और इसे ठीक करने के लिए अपडेट जारी किया जाना है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील जानकारी तक पहुंचने की अनुमति देती है। वे कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप या अन्य महत्वपूर्ण डेटा को पढ़ सकते हैं। इस जानकारी का उपयोग सिस्टम को और अधिक समझौता करने, डेटा चोरी करने या सेवा से इनकार करने के हमलों को शुरू करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह बिना किसी प्रमाणीकरण के शोषण योग्य है, जिसका अर्थ है कि कोई भी हमलावर इसका फायदा उठा सकता है। इस भेद्यता का शोषण लॉग फ़ाइलों से संवेदनशील जानकारी निकालने के लिए किया जा सकता है, या अन्य संवेदनशील डेटा तक पहुंचने के लिए फ़ाइल पथों का उपयोग किया जा सकता है।
CVE-2024-12152 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी उच्च CVSS स्कोर (7.5) इंगित करती है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, यह संभावना है कि जल्द ही PoC विकसित हो जाएंगे। इस भेद्यता के बारे में जानकारी 2025-01-07 को सार्वजनिक की गई थी।
WordPress websites using the MIPL WC Multisite Sync plugin, particularly those with default or overly permissive file permissions, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'mipl_wc_sync_download_log' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mipl-wc-multisite-sync/mipl_wc_sync_download_log.php• wordpress / composer / npm:
wp plugin list | grep 'MIPL WC Multisite Sync'• wordpress / composer / npm:
wp plugin update --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
5.81% (90% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-12152 को कम करने के लिए, सबसे पहले MIPL WC Multisite Sync प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट तुरंत उपलब्ध नहीं है, तो प्लगइन को अस्थायी रूप से अक्षम करने पर विचार करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'miplwcsyncdownloadlog' एक्शन के लिए अनधिकृत पहुंच को ब्लॉक करें। फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुंच हो। नियमित रूप से लॉग फ़ाइलों की निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए प्लगइन की कार्यक्षमता का परीक्षण करें कि यह ठीक से काम कर रहा है और कोई नई समस्या नहीं है।
Actualice el plugin MIPL WC Multisite Sync a la última versión disponible. La vulnerabilidad permite la descarga de archivos arbitrarios sin autenticación, por lo que es crucial actualizar para proteger la información sensible del servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-12152 एक गंभीर भेद्यता है जो MIPL WC Multisite Sync प्लगइन के संस्करण 1.1.5 या उससे कम को प्रभावित करती है, जिससे हमलावरों को सर्वर पर मनमानी फ़ाइलों को पढ़ने की अनुमति मिलती है।
यदि आप MIPL WC Multisite Sync प्लगइन के संस्करण 1.1.5 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
MIPL WC Multisite Sync प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट तुरंत उपलब्ध नहीं है, तो प्लगइन को अस्थायी रूप से अक्षम करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण, यह संभावना है कि जल्द ही इसका शोषण किया जाएगा।
कृपया MIPL वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।