प्लेटफ़ॉर्म
wordpress
घटक
elementor
में ठीक किया गया
3.19.1
CVE-2024-24934 एक असुरक्षित क्रमबद्धता भेद्यता है जो Elementor वेबसाइट बिल्डर में पाई गई है। यह भेद्यता हमलावरों को फ़ाइल सिस्टम कॉल में वेब इनपुट को हेरफेर करने की अनुमति दे सकती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा या सिस्टम पर अनधिकृत क्रियाएं हो सकती हैं। यह भेद्यता Elementor वेबसाइट बिल्डर के संस्करणों ≤3.19.0 को प्रभावित करती है, और इसे 3.19.1 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने, लिखने या हटाने की अनुमति दे सकती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। एक हमलावर संभावित रूप से संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, जैसे कि उपयोगकर्ता क्रेडेंशियल या गोपनीय जानकारी। इसके अतिरिक्त, हमलावर सिस्टम पर अनधिकृत कमांड निष्पादित करने या दुर्भावनापूर्ण कोड अपलोड करने में सक्षम हो सकता है। इस भेद्यता का उपयोग वेबसाइट को पूरी तरह से नियंत्रित करने के लिए किया जा सकता है, जिससे डेटा हानि, सेवा व्यवधान और प्रतिष्ठा को नुकसान हो सकता है। यह भेद्यता पथ ट्रैवर्सल (path traversal) के कारण उत्पन्न होती है, जो हमलावरों को फ़ाइल सिस्टम में अनधिकृत स्थानों तक पहुंचने की अनुमति देती है।
CVE-2024-24934 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर (8.5) इंगित करती है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बना सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। इस भेद्यता के बारे में जानकारी 2024-05-17 को प्रकाशित की गई थी।
WordPress websites utilizing the Elementor Website Builder plugin are at risk. This includes sites with older Elementor installations (≤3.19.0), shared hosting environments where file system access may be more permissive, and sites where Elementor users have elevated privileges.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' /var/www/html/wp-content/plugins/elementor/core/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/elementor/core/somefile.php?path=/etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.88% (75% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय Elementor वेबसाइट बिल्डर को संस्करण 3.19.1 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल पथों को मान्य करने और फ़ाइल सिस्टम तक पहुंच को सीमित करने पर विचार करें। इसके अतिरिक्त, सुनिश्चित करें कि Elementor वेबसाइट बिल्डर के लिए सभी प्लगइन्स और थीम नवीनतम संस्करण में हैं। नियमित रूप से सुरक्षा ऑडिट करें और कमजोरियों के लिए सिस्टम की निगरानी करें। फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए उचित अनुमतियाँ लागू करें।
Actualice el plugin Elementor Website Builder a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de path traversal y deserialización de Phar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-24934 एक असुरक्षित क्रमबद्धता भेद्यता है जो Elementor वेबसाइट बिल्डर को प्रभावित करती है, जिससे हमलावरों को फ़ाइल सिस्टम कॉल में वेब इनपुट को हेरफेर करने की अनुमति मिलती है।
यदि आप Elementor वेबसाइट बिल्डर के संस्करण 3.19.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Elementor वेबसाइट बिल्डर को संस्करण 3.19.1 या उच्चतर में अपडेट करें।
CVE-2024-24934 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर इंगित करती है कि इसका शोषण किया जा सकता है।
आप Elementor की वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [https://elementor.com/security/](https://elementor.com/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।