प्लेटफ़ॉर्म
wordpress
घटक
booking-ultra-pro
में ठीक किया गया
1.1.14
Booking Ultra Pro Appointments में एक पथ पारगमन (Path Traversal) भेद्यता की खोज की गई है, जो हमलावरों को स्थानीय फ़ाइलों को शामिल करने की अनुमति देती है। यह भेद्यता PHP में अनुचित पथ सीमा के कारण उत्पन्न होती है। यह Booking Ultra Pro के संस्करणों n/a से 1.1.13 तक के संस्करणों को प्रभावित करता है। संस्करण 1.1.14 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Booking Ultra Pro एप्लिकेशन के सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर स्थानीय फ़ाइलों को शामिल करके, सर्वर पर संग्रहीत कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य संवेदनशील डेटा को पढ़ सकते हैं। इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए भी किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को सर्वर पर उच्च विशेषाधिकार प्राप्त करने की अनुमति दे सकती है, जिससे वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। इस भेद्यता का सक्रिय शोषण हो सकता है, इसलिए तत्काल कार्रवाई करना महत्वपूर्ण है।
WordPress websites utilizing the Booking Ultra Pro Appointments plugin, particularly those running versions prior to 1.1.14, are at risk. Shared hosting environments where WordPress installations have limited control over file permissions are especially vulnerable. Sites with weak server configurations or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/booking-ultra-pro-appointments/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/booking-ultra-pro-appointments/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
1.23% (79% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Booking Ultra Pro को संस्करण 1.1.14 में तुरंत अपडेट करने की अनुशंसा की जाती है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके फ़ाइल पथों को मान्य किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि वे एप्लिकेशन के रूट निर्देशिका के बाहर नहीं जाते हैं। इसके अतिरिक्त, फ़ाइल अनुमतियों को कड़ा किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुंच प्राप्त हो।
Actualice el plugin Booking Ultra Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-38717 Booking Ultra Pro Appointments में एक पथ पारगमन भेद्यता है जो हमलावरों को स्थानीय फ़ाइलों को शामिल करने की अनुमति देती है।
यदि आप Booking Ultra Pro Appointments के संस्करण 1.1.13 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Booking Ultra Pro Appointments को संस्करण 1.1.14 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके फ़ाइल पथों को मान्य करें।
यह संभव है कि CVE-2024-38717 सक्रिय रूप से शोषण किया जा रहा है, इसलिए तत्काल कार्रवाई करना महत्वपूर्ण है।
आधिकारिक Booking Ultra Pro Advisory के लिए, कृपया Booking Ultra Pro की वेबसाइट पर जाएं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।