प्लेटफ़ॉर्म
wordpress
घटक
wps-hide-login
में ठीक किया गया
1.9.16
CVE-2024-2473, वर्डप्रेस के लिए WPS Hide Login प्लगइन में एक लॉगिन पेज डिस्क्लोजर भेद्यता है। 'action=postpass' पैरामीटर के माध्यम से बाईपास के कारण, हमलावर प्लगइन द्वारा छिपे हुए किसी भी लॉगिन पेज को आसानी से खोज सकते हैं। यह भेद्यता संस्करण 1.9.15.2 और उससे पहले के संस्करणों को प्रभावित करती है। वर्तमान में, इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2024-2473 WordPress के WPS Hide Login प्लगइन को प्रभावित करता है, जिससे लॉगिन पेज प्रकटीकरण भेद्यता उत्पन्न होती है। यह 'action=postpass' पैरामीटर प्रदान किए जाने पर एक बाईपास के कारण होता है। हमलावर प्रमाणीकरण के बिना प्लगइन द्वारा छिपे किसी भी लॉगिन पेज को आसानी से खोज सकते हैं। CVSS स्कोर 5.3 इंगित करता है कि जोखिम मध्यम है, लेकिन भेद्यता की आसान शोषण क्षमता इसे उन वेबसाइटों के लिए एक महत्वपूर्ण चिंता का विषय बनाती है जो सुरक्षा बढ़ाने के लिए इस प्लगइन पर निर्भर करती हैं। लॉगिन फॉर्म का प्रकटीकरण ब्रूट-फोर्स हमलों और क्रेडेंशियल चोरी को सुविधाजनक बना सकता है, जिससे वेबसाइट की अखंडता और उपयोगकर्ता डेटा की गोपनीयता से समझौता हो सकता है। इस जोखिम को कम करने के लिए प्लगइन को नवीनतम संस्करण में अपडेट करना आवश्यक है।
CVE-2024-2473 का शोषण अपेक्षाकृत सरल है। एक हमलावर WordPress वेबसाइट के URL में 'action=postpass' पैरामीटर जोड़ने के लिए बस इतना कर सकता है। उदाहरण के लिए, यदि मूल URL 'https://example.com/wp-login.php' है, तो एक हमलावर 'https://example.com/wp-login.php?action=postpass' का उपयोग छिपे हुए लॉगिन फॉर्म के स्थान को प्रकट करने के लिए कर सकता है। इस भेद्यता का शोषण करने के लिए प्रमाणीकरण की आवश्यकता नहीं है। भेद्यता की आसान शोषण क्षमता का मतलब है कि हमलावर कमजोर साइटों को खोजने की प्रक्रिया को स्वचालित कर सकते हैं। लॉगिन फॉर्म की खोज के बाद, हमलावर उपयोगकर्ता क्रेडेंशियल का अनुमान लगाने के लिए ब्रूट-फोर्स हमलों का प्रयास कर सकते हैं।
एक्सप्लॉइट स्थिति
EPSS
11.76% (94% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-2473 के लिए तत्काल शमन उपाय WPS Hide Login प्लगइन को नवीनतम संस्करण (1.9.15.2 से अधिक) में अपडेट करना है। डेवलपर ने इस बाईपास भेद्यता को संबोधित करने वाला एक अपडेट जारी किया है। इसके अतिरिक्त, सर्वोत्तम सुरक्षा प्रथाओं को लागू किया गया है यह सुनिश्चित करने के लिए प्लगइन कॉन्फ़िगरेशन की जांच करें। उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण (2FA) जैसे अतिरिक्त सुरक्षा उपायों को लागू करने पर विचार करके हमलों के खिलाफ सुरक्षा को और मजबूत किया जा सकता है। अनधिकृत लॉगिन प्रयासों से संबंधित संदिग्ध गतिविधि के लिए सर्वर लॉग की नियमित रूप से निगरानी करना एक महत्वपूर्ण निवारक उपाय है। यदि तत्काल अपडेट संभव नहीं है, तो अपडेट लागू किए जा सकने तक प्लगइन को अस्थायी रूप से अक्षम करना एक व्यवहार्य विकल्प है।
Actualice el plugin WPS Hide Login a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores o iguales a 1.9.15.2. La actualización corregirá el problema de divulgación de la página de inicio de sesión.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक WordPress प्लगइन है जो सुरक्षा बढ़ाने के लिए डिफ़ॉल्ट लॉगिन पेज को छिपाने की अनुमति देता है।
अपडेट एक भेद्यता को ठीक करता है जो हमलावरों को छिपे हुए लॉगिन पेज को खोजने की अनुमति देता है, जिससे हमले आसान हो जाते हैं।
जब तक आप इसे अपडेट नहीं कर सकते, तब तक प्लगइन को अस्थायी रूप से अक्षम करना एक विकल्प है।
दो-कारक प्रमाणीकरण (2FA) को लागू करना और सर्वर लॉग की निगरानी करना अच्छी प्रथाएं हैं।
WordPress और आपके द्वारा उपयोग किए जाने वाले प्लगइन के बारे में नवीनतम सुरक्षा समाचारों से अपडेट रहना महत्वपूर्ण है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।