WordPress Striking थीम <= 2.3.4 - लोकल फ़ाइल इन्क्लूज़न (Local File Inclusion) भेद्यता

यह पथ पारगमन भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर वेब रूट निर्देशिका के बाहर फ़ाइलों को पढ़ने के लिए पथों में '..' अनुक्रम का उपयोग कर सकते हैं। इससे गोपनीय जानकारी का खुलासा हो सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य संवेदनशील डेटा। इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए भी किया जा सकता है, खासकर यदि हमलावर सर्वर पर लिखने की अनुमति प्राप्त कर सकते हैं। यह भेद्यता वर्डप्रेस वेबसाइटों के लिए एक गंभीर खतरा है जो Striking प्लगइन का उपयोग करते हैं।

WordPress websites utilizing the Striking plugin, particularly those running older versions (≤2.3.4), are at risk. Shared hosting environments where file system permissions are less tightly controlled are especially vulnerable. Sites with weak security configurations or inadequate input validation practices are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/striking/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/striking/../../../../etc/passwd' # Check for sensitive file access

1. 2024-07-09Disclosure

   disclosure

1. आरक्षित2024-06-04
2. प्रकाशित2024-07-09
3. संशोधित2024-08-02
4. EPSS अद्यतन2026-04-02

CVE-2024-37268 को कम करने के लिए, Striking प्लगइन को तुरंत संस्करण 2.3.5 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने का प्रयास करें। WAF को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर करें जिनमें '..' अनुक्रम शामिल हैं। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करें ताकि वेब सर्वर प्रक्रिया के पास केवल आवश्यक फ़ाइलों तक ही पहुँच हो। नियमित रूप से लॉग की निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।