प्लेटफ़ॉर्म
wordpress
घटक
addons-for-elementor
में ठीक किया गया
8.3.8
CVE-2024-2385 एक स्थानीय फ़ाइल समावेशन (LFI) भेद्यता है जो Elementor Addons by Livemesh प्लगइन में पाई गई है। यह भेद्यता हमलावरों को सर्वर पर मनमाना PHP कोड निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा का समझौता या सिस्टम पर नियंत्रण खोने का खतरा होता है। यह भेद्यता Elementor Addons by Livemesh के संस्करण 8.3.7 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को तुरंत अपडेट करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को प्लगइन के विभिन्न विजेट्स के माध्यम से 'style' विशेषता का उपयोग करके मनमाने ढंग से फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है। चूंकि हमलावरों को केवल योगदानकर्ता-स्तरीय पहुंच की आवश्यकता होती है, इसलिए यह भेद्यता व्यापक रूप से शोषण योग्य है। एक सफल शोषण से हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, सिस्टम कॉन्फ़िगरेशन को संशोधित कर सकता है, या यहां तक कि सर्वर पर मनमाना कोड निष्पादित कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को एक्सेस नियंत्रण को बायपास करने और उच्च विशेषाधिकार प्राप्त करने की अनुमति दे सकती है। इस भेद्यता का प्रभाव महत्वपूर्ण है, क्योंकि यह पूरी वेबसाइट की सुरक्षा को खतरे में डाल सकता है।
CVE-2024-2385 को अभी तक व्यापक रूप से शोषण करने के लिए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और स्थानीय फ़ाइल समावेशन भेद्यता की प्रकृति के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस CVE को CISA KEV सूची में जोड़ा गया है, जो इसकी गंभीरता को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बना सकते हैं।
WordPress websites using Elementor Addons by Livemesh, particularly those with multiple contributors or users with elevated privileges, are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy WordPress installations with outdated security practices are especially vulnerable.
• wordpress / composer / npm:
grep -r 'style=".*/wp-content/uploads/' /var/www/html/wp-content/plugins/elementor-addons-by-livemesh/• wordpress / composer / npm:
wp plugin list --status=inactive | grep elementor-addons-by-livemesh• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/elementor-addons-by-livemesh/style.php?style=/etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (47% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-2385 के लिए प्राथमिक शमन उपाय Elementor Addons by Livemesh प्लगइन को संस्करण 8.3.8 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'style' विशेषता में फ़ाइल समावेशन प्रयासों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप प्लगइन के कॉन्फ़िगरेशन को सख्त करके और केवल आवश्यक फ़ाइलों तक पहुंच को प्रतिबंधित करके जोखिम को कम कर सकते हैं। फ़ाइल सिस्टम अनुमतियों को भी सीमित किया जाना चाहिए ताकि हमलावर मनमाने ढंग से फ़ाइलों को शामिल न कर सकें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, प्लगइन के फ़ंक्शन को सत्यापित करें।
Actualice el plugin Elementor Addons by Livemesh a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-2385 Elementor Addons by Livemesh प्लगइन में एक स्थानीय फ़ाइल समावेशन भेद्यता है जो हमलावरों को मनमाना PHP कोड निष्पादित करने की अनुमति देती है।
यदि आप Elementor Addons by Livemesh के संस्करण 8.3.7 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Elementor Addons by Livemesh प्लगइन को संस्करण 8.3.8 या बाद के संस्करण में अपडेट करें।
हालांकि व्यापक शोषण की पुष्टि नहीं हुई है, लेकिन इसकी उच्च CVSS स्कोर के कारण, यह शोषण के लिए एक संभावित लक्ष्य है।
आप Elementor की वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [https://elementor.com/security/](https://elementor.com/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।