प्लेटफ़ॉर्म
wordpress
घटक
file-manager-advanced-shortcode
में ठीक किया गया
2.6.0
2.6.0
CVE-2024-13914 WordPress के File Manager Advanced Shortcode प्लगइन में एक स्थानीय फ़ाइल समावेशन (LFI) भेद्यता है। यह भेद्यता हमलावरों को सर्वर पर मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा तक पहुंच या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता WordPress के संस्करण 2.5.6 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 2.6.0 में अपग्रेड करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों के लिए कई गंभीर खतरे पैदा करती है। वे मनमाना जावास्क्रिप्ट कोड निष्पादित करके, संवेदनशील डेटा जैसे उपयोगकर्ता नाम, पासवर्ड और अन्य गोपनीय जानकारी तक पहुंच प्राप्त कर सकते हैं। वे वेबसाइट की कार्यक्षमता को भी बाधित कर सकते हैं या वेबसाइट को दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग कर सकते हैं, जैसे कि स्पैम भेजना या मैलवेयर फैलाना। चूंकि हमलावर को केवल व्यवस्थापक स्तर के एक्सेस की आवश्यकता होती है, इसलिए यह भेद्यता उन वेबसाइटों के लिए विशेष रूप से खतरनाक है जिनमें कमजोर पासवर्ड या अन्य सुरक्षा कमजोरियां हैं। इस भेद्यता का शोषण वेबसाइट के नियंत्रण को पूरी तरह से हमलावर के हाथ में सौंप सकता है।
CVE-2024-13914 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालांकि, भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता को देखते हुए, यह संभावना है कि हमलावर इसका फायदा उठाने की कोशिश करेंगे। यह भेद्यता CISA KEV में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकी है।
WordPress sites utilizing the File Manager Advanced Shortcode plugin, particularly those with administrator accounts that have access to the file management functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Check the plugin version. If it's <= 2.5.6, the system is vulnerable.
wp plugin list --status=active | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Examine WordPress logs for suspicious file inclusion attempts involving the 'filemanageradvanced' shortcode.
grep 'file_manager_advanced' /var/log/apache2/error.log• wordpress / plugin: Review file upload directories for unexpected JavaScript files.
ls -l /path/to/wordpress/wp-content/uploads/disclosure
एक्सप्लॉइट स्थिति
EPSS
0.71% (72% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-13914 को कम करने के लिए सबसे प्रभावी तरीका File Manager Advanced Shortcode प्लगइन को संस्करण 2.6.0 में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'filemanageradvanced' शॉर्टकोड के माध्यम से फ़ाइल समावेशन प्रयासों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल अपलोड और समावेशन को नियंत्रित करने के लिए WordPress की फ़ाइल अनुमतियों को सख्त किया जाना चाहिए। यह सुनिश्चित करें कि केवल विश्वसनीय स्रोतों से ही फ़ाइलें अपलोड की जा सकती हैं।
Actualice el plugin File Manager Advanced Shortcode a la versión 2.6.0 o superior. Esta actualización corrige la vulnerabilidad de inclusión de archivos locales que permite la ejecución de código JavaScript arbitrario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-13914 WordPress के File Manager Advanced Shortcode प्लगइन में एक स्थानीय फ़ाइल समावेशन भेद्यता है जो हमलावरों को मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है।
यदि आप File Manager Advanced Shortcode प्लगइन के संस्करण 2.5.6 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
File Manager Advanced Shortcode प्लगइन को संस्करण 2.6.0 में अपग्रेड करें।
CVE-2024-13914 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका फायदा उठाया जा सकता है।
कृपया WordPress सुरक्षा टीम की वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।