प्लेटफ़ॉर्म
wordpress
घटक
database-backup
में ठीक किया गया
2.36.1
Database Backup and check Tables Automated With Scheduler 2024 प्लगइन में एक भेद्यता पाई गई है जो मनमाने ढंग से फ़ाइल एक्सेस की अनुमति देती है। इस भेद्यता के कारण, प्रमाणित हमलावर, जिनके पास व्यवस्थापक-स्तर का एक्सेस है, सर्वर पर मनमाने ढंग से फ़ाइलें हटा सकते हैं। यह भेद्यता Database Backup and check Tables Automated With Scheduler 2024 के संस्करणों में मौजूद है जो 2.35 या उससे कम हैं। संस्करण 2.36 में आंशिक रूप से इसे ठीक किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे गंभीर परिणाम हो सकते हैं। उदाहरण के लिए, यदि हमलावर wp-config.php फ़ाइल को हटा देता है, तो वे सर्वर पर रिमोट कोड निष्पादित कर सकते हैं। यह हमलावर को वेबसाइट के डेटा तक पहुंचने, उसे संशोधित करने या हटाने की अनुमति दे सकता है। इसके अतिरिक्त, हमलावर वेबसाइट का उपयोग अन्य सिस्टम पर हमला करने के लिए कर सकता है। इस भेद्यता का प्रभाव व्यापक हो सकता है, क्योंकि यह वेबसाइट के सभी उपयोगकर्ताओं को प्रभावित कर सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को प्लगइन के 'databasebackupajax_delete' फ़ंक्शन में फ़ाइल पथ सत्यापन में कमी का फायदा उठाना होगा।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर 7.2 (HIGH) है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि जल्द ही PoC जारी किए जाएंगे। इस भेद्यता का शोषण करने के लिए सक्रिय अभियान अभी तक ज्ञात नहीं हैं। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं।
WordPress websites utilizing the Database Backup and check Tables Automated With Scheduler plugin, particularly those with shared hosting environments where file permissions may be less restrictive, are at risk. Legacy WordPress installations with outdated plugins and inadequate security practices are also particularly vulnerable.
• wordpress / plugin: Use wp-cli plugin list to identify installations of the Database Backup and check Tables Automated With Scheduler plugin. Check the version number to determine if it is vulnerable.
wp plugin list --status=all | grep 'Database Backup and check Tables Automated With Scheduler'• wordpress / plugin: Examine plugin files for the databasebackupajax_delete function and any related file path validation logic. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
• generic web: Monitor web server access logs for requests to the databasebackupajax_delete endpoint, particularly those originating from unusual IP addresses or user agents. Look for patterns indicative of file deletion attempts.
• wordpress / composer / npm: While this plugin doesn't use Composer or npm, ensure other plugins are regularly audited for vulnerabilities using composer audit or npm audit.
disclosure
एक्सप्लॉइट स्थिति
EPSS
3.97% (88% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-13910 को कम करने के लिए, तुरंत Database Backup and check Tables Automated With Scheduler 2024 को संस्करण 2.36 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो मनमाने फ़ाइल एक्सेस प्रयासों को ब्लॉक कर सके। इसके अतिरिक्त, प्लगइन के फ़ाइल पथ सत्यापन को मजबूत करने के लिए कॉन्फ़िगरेशन वर्कअराउंड लागू करें। फ़ाइलों को हटाने से रोकने के लिए, फ़ाइल एक्सेस अनुमतियों को सीमित करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के फ़ंक्शन को मैन्युअल रूप से जांचें।
Actualice el plugin Database Backup and check Tables Automated With Scheduler 2024 a la versión 2.36 o superior. Esta versión contiene una corrección para la vulnerabilidad de eliminación arbitraria de archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-13910 Database Backup and check Tables Automated With Scheduler 2024 प्लगइन में एक भेद्यता है जो प्रमाणित हमलावरों को मनमाने ढंग से फ़ाइलें हटाने की अनुमति देती है, जिससे संभावित रूप से रिमोट कोड निष्पादन हो सकता है।
यदि आप Database Backup and check Tables Automated With Scheduler 2024 के संस्करण 2.35 या उससे कम चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-13910 को ठीक करने के लिए, Database Backup and check Tables Automated With Scheduler 2024 को संस्करण 2.36 में अपग्रेड करें।
CVE-2024-13910 का शोषण करने के लिए सक्रिय अभियान अभी तक ज्ञात नहीं हैं, लेकिन इसकी गंभीरता को देखते हुए, यह संभावना है कि जल्द ही PoC जारी किए जाएंगे।
Database Backup and check Tables Automated With Scheduler के लिए आधिकारिक सलाहकार के लिए, कृपया प्लगइन डेवलपर की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।