प्लेटफ़ॉर्म
wordpress
घटक
designthemes-core-features
में ठीक किया गया
4.7.1
डिजाइनथीम्स कोर फीचर्स प्लगइन में एक असुरक्षा पाई गई है जो अनधिकृत फ़ाइल एक्सेस की अनुमति देती है। यह भेद्यता dtprocessimported_file फ़ंक्शन में एक क्षमता जांच की कमी के कारण होती है। इसका मतलब है कि प्रमाणीकृत हमलावर बिना किसी प्रमाणीकरण के अंतर्निहित ऑपरेटिंग सिस्टम से मनमाना फ़ाइलें पढ़ सकते हैं। यह भेद्यता डिज़ाइनथीम्स कोर फीचर्स के संस्करण 4.7 और उससे पहले के सभी संस्करणों को प्रभावित करती है। नवीनतम संस्करण में अपग्रेड करके इस समस्या को ठीक किया जा सकता है।
यह भेद्यता हमलावरों को संवेदनशील डेटा तक पहुंचने की अनुमति दे सकती है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस बैकअप या अन्य गोपनीय जानकारी। हमलावर इस जानकारी का उपयोग सिस्टम को समझौता करने, डेटा चोरी करने या सेवा से इनकार करने के लिए कर सकते हैं। चूंकि भेद्यता में मनमाना फ़ाइलें पढ़ने की क्षमता शामिल है, इसलिए इसका उपयोग सर्वर पर संग्रहीत किसी भी फ़ाइल तक पहुंचने के लिए किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण किया जा सकता है, जिससे यह हमलावरों के लिए शोषण करना आसान हो जाता है।
CVE-2024-13471 को अभी तक CISA KEV सूची में जोड़ा नहीं गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने 2025-03-05 को इस भेद्यता को प्रकाशित किया। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है।
WordPress websites using the DesignThemes Core Features plugin, particularly those running versions 4.7 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable. Websites with sensitive data stored in easily accessible locations on the server are also at higher risk.
• wordpress / composer / npm:
grep -r 'dt_process_imported_file' /var/www/html/wp-content/plugins/design-themes-core-features/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/design-themes-core-features/dt_process_imported_file.php?file=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep design-themes-core-featuresdisclosure
एक्सप्लॉइट स्थिति
EPSS
1.53% (81% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, डिज़ाइनथीम्स कोर फीचर्स प्लगइन को नवीनतम संस्करण में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है ताकि dtprocessimported_file फ़ंक्शन तक अनधिकृत पहुंच को अवरुद्ध किया जा सके। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त किया जा सकता है ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुंचने की अनुमति हो। यह सुनिश्चित करना भी महत्वपूर्ण है कि सर्वर सॉफ़्टवेयर और अन्य निर्भरताएँ नवीनतम सुरक्षा पैच के साथ अद्यतित हैं। अपग्रेड के बाद, यह सत्यापित करें कि फ़ाइल एक्सेस प्रतिबंध ठीक से लागू किए गए हैं और कोई अनधिकृत पहुंच नहीं है।
Actualizar el plugin DesignThemes Core Features a una versión posterior a la 4.7. Si no hay una actualización disponible, considere deshabilitar el plugin hasta que se publique una versión corregida.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-13471 डिज़ाइनथीम्स कोर फीचर्स प्लगइन में एक भेद्यता है जो हमलावरों को बिना प्रमाणीकरण के मनमाना फ़ाइलें पढ़ने की अनुमति देती है। यह dtprocessimported_file फ़ंक्शन में एक क्षमता जांच की कमी के कारण होता है।
यदि आप डिज़ाइनथीम्स कोर फीचर्स प्लगइन के संस्करण 4.7 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, डिज़ाइनथीम्स कोर फीचर्स प्लगइन को नवीनतम संस्करण में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें।
CVE-2024-13471 का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आप डिज़ाइनथीम्स की आधिकारिक सलाह उनकी वेबसाइट पर पा सकते हैं: [डिज़ाइनथीम्स वेबसाइट लिंक]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।