प्लेटफ़ॉर्म
wordpress
घटक
ultimate-bootstrap-elements-for-elementor
में ठीक किया गया
1.4.5
CVE-2024-43140 एक पथ पारगमन भेद्यता है जो Ultimate Bootstrap Elements for Elementor प्लगइन में पाई गई है। यह भेद्यता हमलावरों को PHP लोकल फ़ाइल समावेश (LFI) करने की अनुमति देती है, जिससे संवेदनशील फ़ाइलों तक अनधिकृत पहुंच हो सकती है। यह भेद्यता Ultimate Bootstrap Elements for Elementor के संस्करण 1.4.4 और उससे पहले के संस्करणों को प्रभावित करती है। 1.4.5 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिससे संवेदनशील जानकारी जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या स्रोत कोड उजागर हो सकते हैं। यदि हमलावर वेब सर्वर प्रक्रिया के तहत चल रहा है, तो वे संभावित रूप से सर्वर पर कोड निष्पादित करने में सक्षम हो सकते हैं। इस भेद्यता का उपयोग सर्वर से डेटा चोरी करने, सिस्टम को दूषित करने या सर्वर को पूरी तरह से नियंत्रित करने के लिए किया जा सकता है। यह भेद्यता Log4Shell जैसी अन्य फ़ाइल समावेश भेद्यताओं के समान है, जहां हमलावर सर्वर पर मनमाने कोड को निष्पादित करने के लिए सिस्टम फ़ाइलों का उपयोग कर सकते हैं।
CVE-2024-43140 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और सार्वजनिक रूप से उपलब्ध विवरण के कारण, इसका शोषण होने की संभावना है। यह KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता का शोषण करने की आसानी को दर्शाते हैं। NVD (National Vulnerability Database) ने 2024-08-13 को इस भेद्यता को प्रकाशित किया।
Websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.4), are at risk. Shared hosting environments where WordPress installations have limited access control are especially vulnerable, as an attacker could potentially exploit this vulnerability on multiple sites simultaneously.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.91% (76% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-43140 के लिए तत्काल शमन कदम प्लगइन को संस्करण 1.4.5 में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करना और वेब सर्वर प्रक्रिया के लिए आवश्यक फ़ाइलों तक पहुंच को सीमित करना शामिल है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। WAF नियमों को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि ../ या ..\। अपडेट करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, प्लगइन फ़ाइलों तक अनधिकृत पहुंच के लिए लॉग की जाँच करके।
Actualiza el plugin Ultimate Bootstrap Elements for Elementor a la última versión disponible. La vulnerabilidad de Local File Inclusion (LFI) se ha corregido en versiones posteriores a la 1.4.4. Verifica que la versión actualizada sea segura y aplica las últimas actualizaciones de seguridad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-43140 Ultimate Bootstrap Elements for Elementor प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेश करने की अनुमति देती है।
यदि आप Ultimate Bootstrap Elements for Elementor के संस्करण 1.4.4 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2024-43140 को ठीक करने के लिए, प्लगइन को संस्करण 1.4.5 में अपडेट करें।
CVE-2024-43140 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
कृपया प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।