प्लेटफ़ॉर्म
wordpress
घटक
error-log-viewer-wp
में ठीक किया गया
1.0.2
Error Log Viewer By WP Guru प्लगइन में एक गंभीर भेद्यता पाई गई है, जो मनमानी फ़ाइल एक्सेस की अनुमति देती है। यह भेद्यता WordPress वेबसाइटों पर हमलावरों को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। प्रभावित संस्करण 1.0.1.3 और उससे पहले के संस्करण हैं। 2025-01-07 को यह भेद्यता सार्वजनिक की गई थी और इसे ठीक करने के लिए अपडेट उपलब्ध हैं।
यह भेद्यता हमलावरों को WordPress वेबसाइट पर संग्रहीत किसी भी फ़ाइल को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल और अन्य संवेदनशील जानकारी शामिल हो सकती है। हमलावर इस जानकारी का उपयोग वेबसाइट को नियंत्रित करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह बिना प्रमाणीकरण के शोषण किया जा सकता है, जिसका अर्थ है कि किसी भी हमलावर के पास वेबसाइट तक पहुंच होने पर भेद्यता का फायदा उठाया जा सकता है। यदि हमलावर को वेबसाइट के रूट फ़ोल्डर तक पहुंच प्राप्त हो जाती है, तो वे सिस्टम पर नियंत्रण प्राप्त कर सकते हैं।
CVE-2024-12849 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इसका फायदा उठाना आसान हो जाता है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी जारी की है।
WordPress websites using the Error Log Viewer By WP Guru plugin, particularly those running versions prior to 1.0.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the exposure of data from other sites.
• wordpress / composer / npm:
grep -r 'wp_ajax_nopriv_elvwp_log_download' /var/www/html/wp-content/plugins/error-log-viewer-by-wp-guru/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=elvwp_log_download&file=/etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'Error Log Viewer By WP Guru'disclosure
एक्सप्लॉइट स्थिति
EPSS
92.98% (100% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-12849 को कम करने के लिए, Error Log Viewer By WP Guru प्लगइन को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके wpajaxnoprivelvwplog_download AJAX एक्शन को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल आवश्यक उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुंच प्रदान करके जोखिम को कम कर सकते हैं। सुनिश्चित करें कि WordPress कोर और अन्य प्लगइन भी नवीनतम संस्करण में अपडेट किए गए हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन की कार्यक्षमता का परीक्षण करें।
Actualice el plugin Error Log Viewer By WP Guru a una versión posterior a la 1.0.1.3. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-12849 WordPress के Error Log Viewer By WP Guru प्लगइन में एक भेद्यता है जो हमलावरों को मनमानी फ़ाइलें पढ़ने की अनुमति देती है।
यदि आप Error Log Viewer By WP Guru प्लगइन के संस्करण 1.0.1.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Error Log Viewer By WP Guru प्लगइन को नवीनतम संस्करण में अपडेट करें।
CVE-2024-12849 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह जल्द ही शोषण का लक्ष्य बन सकता है।
कृपया प्लगइन डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।