प्लेटफ़ॉर्म
wordpress
घटक
sp-client-document-manager
में ठीक किया गया
4.71.1
CVE-2024-37224 एक डायरेक्टरी ट्रैवर्सल भेद्यता है जो SP Project & Document Manager में पाई गई है। यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति दे सकती है, जिससे डेटा उल्लंघन या सिस्टम समझौता हो सकता है। यह भेद्यता SP Project & Document Manager के संस्करणों ≤4.71 को प्रभावित करती है। संस्करण 4.71.1 में इस समस्या का समाधान किया गया है।
यह डायरेक्टरी ट्रैवर्सल भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, भले ही उनके पास सामान्य रूप से ऐसा करने की अनुमति न हो। हमलावर संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या स्रोत कोड तक पहुँच सकते हैं। इस भेद्यता का उपयोग सिस्टम पर आगे के हमलों को लॉन्च करने के लिए भी किया जा सकता है, जैसे कि रिमोट कोड निष्पादन। इस भेद्यता का प्रभाव गंभीर हो सकता है, क्योंकि यह हमलावरों को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है।
CVE-2024-37224 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन डायरेक्टरी ट्रैवर्सल भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो इस भेद्यता का शोषण करने के लिए हमलावरों को सक्षम करते हैं।
Organizations using SP Project & Document Manager, particularly those running older versions (≤4.71) on shared hosting environments, are at increased risk. Sites with misconfigured file permissions or inadequate WAF protection are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/sp-project-document-manager/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
1.49% (81% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-37224 को कम करने के लिए, SP Project & Document Manager को संस्करण 4.71.1 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या रिवर्स प्रॉक्सी का उपयोग करके डायरेक्टरी ट्रैवर्सल हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, सर्वर पर फ़ाइल अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना भेद्यता के जोखिम को कम करने में मदद कर सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, फ़ाइल अनुमतियों और WAF नियमों की समीक्षा करें।
Actualice el plugin SP Project & Document Manager a la última versión disponible. La vulnerabilidad de path traversal permite el acceso a archivos no autorizados, por lo que es crucial actualizar para mitigar el riesgo. Consulte la página del plugin en WordPress.org para obtener la versión más reciente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-37224 एक डायरेक्टरी ट्रैवर्सल भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप SP Project & Document Manager के संस्करण ≤4.71 चला रहे हैं, तो आप प्रभावित हैं।
SP Project & Document Manager को संस्करण 4.71.1 में अपग्रेड करें।
CVE-2024-37224 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन शोषण का खतरा है।
कृपया SP Project & Document Manager की वेबसाइट पर जाएँ या उनके सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।