प्लेटफ़ॉर्म
wordpress
घटक
academy
में ठीक किया गया
1.9.20
CVE-2024-1505 Academy LMS – eLearning और ऑनलाइन कोर्स समाधान WordPress प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है। इस भेद्यता के कारण, प्रमाणित हमलावर, न्यूनतम अनुमतियों वाले छात्र भी, प्रशासक की भूमिका में अपने उपयोगकर्ता भूमिका को बढ़ा सकते हैं। यह भेद्यता WordPress प्लगइन के संस्करण 1.9.19 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को WordPress वेबसाइट पर प्रशासक के रूप में कार्य करने की अनुमति देती है, जिससे वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, वेबसाइट की सामग्री को संशोधित कर सकते हैं, या दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं। हमलावर उपयोगकर्ता खातों को बना या हटा सकते हैं, प्लगइन्स और थीम स्थापित कर सकते हैं, और वेबसाइट की सेटिंग्स को बदल सकते हैं। इस भेद्यता का उपयोग वेबसाइट को पूरी तरह से नियंत्रित करने के लिए किया जा सकता है, जिससे गंभीर वित्तीय और प्रतिष्ठा संबंधी नुकसान हो सकता है। यह भेद्यता विशेष रूप से उन वेबसाइटों के लिए खतरनाक है जो महत्वपूर्ण डेटा संग्रहीत करती हैं या संवेदनशील लेनदेन करती हैं।
CVE-2024-1505 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालाँकि, भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता को देखते हुए, यह संभव है कि हमलावर इसका फायदा उठाना शुरू कर सकते हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं है।
WordPress sites utilizing the Academy LMS plugin, particularly those with student accounts or other low-privilege users, are at risk. Shared hosting environments where multiple WordPress installations share resources are also at increased risk, as a compromise of one site could potentially be leveraged to exploit this vulnerability on others.
• wordpress / composer / npm:
grep -r 'saved_user_info()' /var/www/html/wp-content/plugins/academy-lms/*• wordpress / composer / npm:
wp plugin list --status=all | grep academy-lms• wordpress / composer / npm:
wp plugin update academy-lms --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (39% शतमक)
CVSS वेक्टर
CVE-2024-1505 को कम करने के लिए, Academy LMS प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी उपाय के रूप में, आप WordPress फ़ायरवॉल (WAF) का उपयोग करके प्लगइन के saveduserinfo() फ़ंक्शन तक पहुंच को प्रतिबंधित कर सकते हैं। इसके अतिरिक्त, आप प्लगइन के उपयोगकर्ता मेटा डेटा को संशोधित करने के प्रयासों की निगरानी के लिए सुरक्षा ऑडिट लॉगिंग लागू कर सकते हैं। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का सफलतापूर्वक समाधान किया गया है, प्लगइन के सभी महत्वपूर्ण कार्यों का परीक्षण करें।
Actualice el plugin Academy LMS a la última versión disponible. La vulnerabilidad que permite la escalada de privilegios ha sido corregida en versiones posteriores a la 1.9.19. Esto evitará que usuarios no autorizados obtengan acceso de administrador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-1505 Academy LMS प्लगइन में एक भेद्यता है जो हमलावरों को प्रशासक की भूमिका प्राप्त करने की अनुमति देती है, जिससे वे वेबसाइट को नियंत्रित कर सकते हैं।
यदि आप Academy LMS प्लगइन के संस्करण 1.9.19 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Academy LMS प्लगइन को नवीनतम संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भेद्यता गंभीर है।
कृपया Academy LMS वेबसाइट पर जाएं या WordPress प्लगइन रिपॉजिटरी में अपडेट की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।