WishList Member X < 3.26.7 - प्रमाणित (सदस्य+) मनमाना फ़ाइल विलोपन

यह भेद्यता हमलावरों को संवेदनशील फ़ाइलों को हटाने की अनुमति देती है, जैसे कि wp-config.php, जो WordPress वेबसाइट के लिए महत्वपूर्ण कॉन्फ़िगरेशन जानकारी संग्रहीत करता है। wp-config.php को हटाने से वेबसाइट पूरी तरह से निष्क्रिय हो सकती है। इसके अतिरिक्त, हमलावर अन्य महत्वपूर्ण फ़ाइलों को हटा सकते हैं, जिससे वेबसाइट की कार्यक्षमता बाधित हो सकती है या डेटा हानि हो सकती है। यदि हमलावर wp-config.php जैसी फ़ाइलों को हटाने में सफल होता है, तो वे रिमोट कोड निष्पादन (RCE) प्राप्त कर सकते हैं, जिससे उन्हें वेबसाइट पर पूर्ण नियंत्रण मिल सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि इसे सब्सक्राइबर स्तर के एक्सेस वाले हमलावरों द्वारा भी शोषण किया जा सकता है, जो आमतौर पर वेबसाइट पर कम विशेषाधिकार वाले उपयोगकर्ता होते हैं।

WordPress websites utilizing the Wishlist Member plugin, particularly those running versions prior to 3.26.7, are at risk. Shared hosting environments are especially vulnerable, as they often have limited file permission controls and a higher density of WordPress installations, increasing the potential attack surface. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are also at heightened risk.

• wordpress / composer / npm:

grep -r 'wishlist_member_delete_file' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list --status=active | grep Wishlist Member

• wordpress / composer / npm:

wp plugin update wishlist-member --version=3.26.7

• generic web: Check WordPress access logs for requests containing suspicious file paths or deletion attempts targeting sensitive files like wp-config.php.

1. 2024-06-20Disclosure

   disclosure

1. आरक्षित2024-06-03
2. प्रकाशित2024-06-20
3. संशोधित2026-02-26
4. EPSS अद्यतन2026-04-02

CVE-2024-37108 के प्रभाव को कम करने के लिए, Wishlist Member प्लगइन को तुरंत संस्करण 3.26.7 में अपडेट करना महत्वपूर्ण है। यदि प्लगइन को तुरंत अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो मनमाना फ़ाइल एक्सेस का प्रयास करते हैं। इसके अतिरिक्त, वेबसाइट के फ़ाइल अनुमतियों को सख्त किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुंचने की अनुमति हो। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं ताकि किसी भी संभावित भेद्यता की पहचान की जा सके और उन्हें ठीक किया जा सके।