प्लेटफ़ॉर्म
wordpress
घटक
makestories-helper
में ठीक किया गया
3.0.4
CVE-2024-38746 एक गंभीर भेद्यता है जो MakeStories (for Google Web Stories) प्लगइन में पाई गई है। यह एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जिसका अर्थ है कि एक हमलावर सर्वर को उनकी ओर से अनुरोध करने के लिए मजबूर कर सकता है, संभावित रूप से आंतरिक संसाधनों तक पहुंच प्राप्त कर सकता है। यह भेद्यता MakeStories के संस्करणों 3.0.3 और उससे पहले को प्रभावित करती है। संस्करण 3.0.4 में इस समस्या का समाधान किया गया है।
इस SSRF भेद्यता का उपयोग करके, एक हमलावर आंतरिक नेटवर्क संसाधनों तक पहुंच प्राप्त कर सकता है जो आमतौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। वे संवेदनशील डेटा तक पहुंच सकते हैं, आंतरिक सेवाओं के साथ इंटरैक्ट कर सकते हैं, या यहां तक कि सर्वर पर कमांड निष्पादित करने का प्रयास कर सकते हैं। हमलावर आंतरिक डेटाबेस, व्यवस्थापन पैनल या अन्य संवेदनशील प्रणालियों तक पहुंच प्राप्त कर सकते हैं। इस भेद्यता का शोषण आंतरिक नेटवर्क पर आगे के हमलों के लिए एक लॉन्चिंग पैड के रूप में किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
यह भेद्यता सार्वजनिक रूप से 2024-08-01 को उजागर की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन SSRF भेद्यताएँ अक्सर लक्षित हमलों के लिए उपयोग की जाती हैं। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जिससे इसका शोषण आसान हो सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है।
Websites utilizing MakeStories for Google Web Stories, particularly those running versions prior to 3.0.4, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that rely on MakeStories to integrate with internal or external APIs are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/makestories/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/makestories/some-file.php?url=../sensitive-file• wordpress / composer / npm:
wp plugin list --status=active | grep makestoriesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.79% (74% शतमक)
CISA SSVC
CVSS वेक्टर
यदि आप MakeStories (for Google Web Stories) के संस्करण 3.0.3 या उससे पहले का उपयोग कर रहे हैं, तो तुरंत संस्करण 3.0.4 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को कम करने का प्रयास करें। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो आंतरिक संसाधनों तक पहुंचने का प्रयास करते हैं। इसके अतिरिक्त, MakeStories प्लगइन की कॉन्फ़िगरेशन सेटिंग्स की समीक्षा करें और सुनिश्चित करें कि कोई भी अनावश्यक सुविधाएँ अक्षम हैं।
Actualice el plugin MakeStories (for Google Web Stories) a una versión posterior a la 3.0.3. Esto solucionará las vulnerabilidades de Path Traversal y Server Side Request Forgery. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-38746 MakeStories प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप MakeStories के संस्करण 3.0.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
MakeStories को संस्करण 3.0.4 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करके SSRF हमलों को कम करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन SSRF भेद्यताएँ अक्सर लक्षित हमलों के लिए उपयोग की जाती हैं।
कृपया MakeStories वेबसाइट पर जाएं या नवीनतम जानकारी के लिए प्लगइन के अपडेट की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।