प्लेटफ़ॉर्म
wordpress
घटक
mailster
में ठीक किया गया
4.0.7
Mailster वर्डप्रेस प्लगइन में एक पथ पारगमन (Path Traversal) भेद्यता की पहचान की गई है। यह भेद्यता हमलावरों को PHP लोकल फ़ाइल इन्क्लूज़न (LFI) का उपयोग करके सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है। यह भेद्यता Mailster के वर्ज़न n/a से लेकर 4.0.6 तक के संस्करणों को प्रभावित करती है। 4.0.7 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Mailster प्लगइन के माध्यम से सर्वर पर मनमाने फ़ाइलों को शामिल करने की अनुमति देती है। इसका मतलब है कि वे संवेदनशील डेटा तक पहुँच सकते हैं, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल, या अन्य महत्वपूर्ण जानकारी। हमलावर इस जानकारी का उपयोग सिस्टम पर नियंत्रण हासिल करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर सर्वर पर अन्य अनुप्रयोगों या सेवाओं को भी लक्षित कर सकते हैं, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह वर्डप्रेस वेबसाइटों को प्रभावित करती है, जो अक्सर महत्वपूर्ण व्यावसायिक डेटा और संचालन को होस्ट करती हैं।
CVE-2024-32523 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, लेकिन इसकी उच्च CVSS स्कोर (8.1) इंगित करती है कि इसका शोषण होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बना सकते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी जारी की है।
WordPress websites utilizing the Mailster plugin, particularly those running versions 4.0.6 or earlier, are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as are sites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/mailster/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/mailster/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep mailster• wordpress / composer / npm:
wp plugin update mailster --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
29.03% (97% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-32523 को कम करने के लिए, Mailster प्लगइन को तुरंत वर्ज़न 4.0.7 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक कर सकते हैं। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर करें जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' या '/etc/passwd'। इसके अतिरिक्त, Mailster प्लगइन के लिए फ़ाइल अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही फ़ाइलों तक पहुँच हो। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के कॉन्फ़िगरेशन को सत्यापित करें और किसी भी असामान्य गतिविधि की निगरानी करें।
Actualice el plugin Mailster a una versión posterior a la 4.0.6. Esto solucionará la vulnerabilidad de inclusión de archivos locales no autenticada. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-32523 Mailster वर्डप्रेस प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल इन्क्लूज़न (LFI) का उपयोग करने की अनुमति देती है।
यदि आप Mailster के वर्ज़न 4.0.6 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Mailster प्लगइन को वर्ज़न 4.0.7 में अपडेट करें।
CVE-2024-32523 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
Mailster की वेबसाइट पर आधिकारिक सलाहकार देखें: [https://everpress.com/mailster/security/](https://everpress.com/mailster/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।