प्लेटफ़ॉर्म
wordpress
घटक
bit-form
में ठीक किया गया
2.17.5
Contact Form by Bit Form प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को वेब एप्लिकेशन से उत्पन्न होकर मनमाने स्थानों पर वेब अनुरोध करने की अनुमति देती है, जिससे आंतरिक सेवाओं से जानकारी प्राप्त करने और बदलने की संभावना पैदा होती है। यह भेद्यता Contact Form by Bit Form के सभी संस्करणों में मौजूद है जो 2.17.4 या उससे पहले के हैं। प्लगइन को नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक किया जा सकता है।
SSRF भेद्यता का उपयोग हमलावरों द्वारा आंतरिक नेटवर्क संसाधनों तक पहुंचने के लिए किया जा सकता है जो आमतौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। यह हमलावर को संवेदनशील डेटा तक पहुंचने, आंतरिक सेवाओं को नियंत्रित करने या यहां तक कि आंतरिक प्रणालियों पर हमला करने की अनुमति दे सकता है। इस मामले में, चूंकि भेद्यता में व्यवस्थापक-स्तर की पहुंच वाले प्रमाणित हमलावरों की आवश्यकता होती है, इसलिए यह उन वेबसाइटों के लिए एक महत्वपूर्ण जोखिम है जहां व्यवस्थापक खाते से समझौता किया गया है। मल्टीसाइट वातावरण में भी इसका शोषण किया जा सकता है, जिससे कई साइटों पर प्रभाव पड़ सकता है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसकी EPSS स्कोर कम से मध्यम होने की संभावना है क्योंकि इसके लिए प्रमाणित पहुंच की आवश्यकता होती है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। 2025-01-25 को CVE प्रकाशित किया गया था।
WordPress websites utilizing the Contact Form by Bit Form plugin, particularly those with administrator accounts and internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple WordPress sites share the same server infrastructure are also at increased risk, as a compromised administrator account on one site could potentially be used to exploit the vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'Webhook_url' /var/www/html/wp-content/plugins/contact-form-by-bit-form/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/contact-form-by-bit-form/webhook.php | grep -i 'server:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.34% (57% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Contact Form by Bit Form प्लगइन को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके वेबहुक एकीकरण को ब्लॉक किया जा सकता है। इसके अतिरिक्त, आंतरिक सेवाओं तक पहुंच को सीमित करने के लिए नेटवर्क सेगमेंटेशन और एक्सेस कंट्रोल का उपयोग किया जा सकता है। प्लगइन के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और किसी भी अनावश्यक सुविधा को अक्षम करना भी महत्वपूर्ण है।
Contact Form by Bit Form प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें। सर्वर-साइड अनुरोध जालसाजी (SSRF) की भेद्यता को 2.17.4 के बाद के संस्करणों में ठीक कर दिया गया है। यह व्यवस्थापक विशेषाधिकारों वाले प्रमाणित हमलावरों को अपने वेब एप्लिकेशन से मनमाने स्थानों पर वेब अनुरोध करने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-13450 Contact Form by Bit Form प्लगइन में सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को आंतरिक सेवाओं से जानकारी प्राप्त करने की अनुमति देती है।
यदि आप Contact Form by Bit Form प्लगइन के संस्करण 2.17.4 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Contact Form by Bit Form प्लगइन को नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक करें।
CVE-2024-13450 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन इसकी संभावना है।
Contact Form by Bit Form की आधिकारिक वेबसाइट पर जाएं या प्लगइन के अपडेट के लिए वर्डप्रेस प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।