प्लेटफ़ॉर्म
wordpress
घटक
contact-form-7
में ठीक किया गया
5.9.1
CVE-2024-2242 Drupal Core के Comment मॉड्यूल में एक Denial of Service (DoS) भेद्यता है। एक हमलावर टिप्पणी प्रतिक्रिया अनुरोधों को ट्रिगर करके साइट को अनुपलब्ध करा सकता है। यह भेद्यता Drupal Core के संस्करणों 9.5.9 और उससे पहले के संस्करणों को प्रभावित करती है। Drupal 10.1.8 में इस समस्या का समाधान किया गया है।
WordPress के Contact Form 7 प्लगइन में CVE-2024-2242 भेद्यता एक रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग (XSS) जोखिम का प्रतिनिधित्व करती है। इसका मतलब है कि एक हमलावर 'active-tab' पैरामीटर के माध्यम से वेबपेज में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यदि एक अनधिकृत उपयोगकर्ता विशेष रूप से तैयार किए गए लिंक पर क्लिक करता है, तो यह कोड उस उपयोगकर्ता के ब्राउज़र में निष्पादित होगा, जिससे हमलावर संवेदनशील जानकारी, जैसे सत्र कुकीज़ चुरा सकता है, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित कर सकता है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 6.1 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। यदि वेबसाइट पर उच्च ट्रैफ़िक है या फ़ॉर्म के माध्यम से एकत्र की गई जानकारी संवेदनशील है (व्यक्तिगत डेटा, वित्तीय जानकारी, आदि), तो प्रभाव और भी बढ़ जाता है। आधिकारिक फिक्स (fix) की कमी स्थिति को बढ़ाती है और तत्काल निवारक उपायों की आवश्यकता होती है।
एक हमलावर इस भेद्यता का फायदा उठाकर 'active-tab' पैरामीटर में इंजेक्ट किए गए जावास्क्रिप्ट कोड के साथ एक दुर्भावनापूर्ण लिंक बना सकता है। इस लिंक को फ़िशिंग ईमेल, सोशल मीडिया या अन्य समझौता किए गए वेबसाइटों के माध्यम से वितरित किया जा सकता है। जब कोई उपयोगकर्ता लिंक पर क्लिक करता है, तो ब्राउज़र जावास्क्रिप्ट कोड निष्पादित करेगा, जिससे हमलावर दुर्भावनापूर्ण क्रियाएं करने में सक्षम हो जाएगा। Contact Form 7 में 'active-tab' पैरामीटर का उचित सत्यापन की कमी इस इंजेक्शन को सक्षम करती है। शोषण की कठिनाई हमलावर की उपयोगकर्ता को लिंक पर क्लिक करने के लिए धोखा देने की क्षमता पर निर्भर करती है, जिसके लिए सामाजिक इंजीनियरिंग तकनीकों की आवश्यकता होती है।
एक्सप्लॉइट स्थिति
EPSS
68.48% (99% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि Contact Form 7 के लिए संस्करण 5.9 तक कोई आधिकारिक अपडेट उपलब्ध नहीं है, इसलिए तत्काल शमन में 'active-tab' पैरामीटर का उपयोग करने वाले पृष्ठों तक पहुंच को प्रतिबंधित करना शामिल है। WordPress के भीतर URL से इस पैरामीटर को साफ या हटाने के लिए एक फ़िल्टर लागू करने की सिफारिश की जाती है। एक अन्य विकल्प यह है कि यदि यह बिल्कुल आवश्यक नहीं है तो Contact Form 7 प्लगइन को अस्थायी रूप से अक्षम कर दें। URL हेरफेर से संबंधित सर्वर लॉग की सक्रिय रूप से निगरानी करना महत्वपूर्ण है। इसके अतिरिक्त, उपयोगकर्ताओं को अज्ञात या संदिग्ध लिंक पर क्लिक करने के जोखिमों के बारे में शिक्षित करने की सलाह दी जाती है, भले ही वे विश्वसनीय स्रोतों से प्रतीत हों। उपलब्ध होने पर नवीनतम संस्करण (5.9 या उच्चतर) में अपग्रेड करना अंतिम समाधान है।
Actualice el plugin Contact Form 7 a la versión más reciente. La versión 5.9.1 corrige esta vulnerabilidad de Cross-Site Scripting (XSS).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक प्रकार का हमला है जिसमें एक हमलावर वेबपेज में दुर्भावनापूर्ण कोड इंजेक्ट करता है जो उपयोगकर्ता को वापस प्रतिबिंबित होता है। इस मामले में, 'active-tab' पैरामीटर आक्रमण वेक्टर है।
यदि आप 5.9 से पहले के संस्करण में Contact Form 7 का उपयोग कर रहे हैं, तो आपकी वेबसाइट कमजोर है। आप WordPress व्यवस्थापक पैनल में प्लगइन संस्करण की जांच कर सकते हैं।
तुरंत सभी व्यवस्थापक-स्तरीय उपयोगकर्ताओं के पासवर्ड बदलें। अपनी वेबसाइट को मैलवेयर के लिए स्कैन करें और स्वच्छ बैकअप से पुनर्स्थापित करने पर विचार करें।
ऐसे वेब भेद्यता स्कैनर हैं जो इस भेद्यता का पता लगा सकते हैं। आप Contact Form 7 का उपयोग करने वाले पृष्ठों के स्रोत कोड का निरीक्षण करके मैन्युअल परीक्षण भी कर सकते हैं।
पैरामीटर को साफ़ करने का मतलब है उपयोगकर्ता इनपुट से किसी भी संभावित रूप से खतरनाक वर्णों को हटाना या अक्षम करना ताकि उन्हें कोड के रूप में निष्पादित होने से रोका जा सके।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।