प्लेटफ़ॉर्म
wordpress
घटक
bitformpro
में ठीक किया गया
2.6.5
CVE-2024-43248 Bit Apps Bit Form Pro में एक Arbitrary File Access भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है। यह भेद्यता Bit Form Pro के संस्करणों ≤2.6.4 को प्रभावित करती है। इस समस्या को Bit Form Pro संस्करण 2.6.5 में ठीक कर दिया गया है।
यह Arbitrary File Access भेद्यता हमलावरों को Bit Form Pro इंस्टॉलेशन पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर सर्वर पर संग्रहीत संवेदनशील डेटा, जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस बैकअप या अन्य महत्वपूर्ण जानकारी तक पहुँच सकते हैं। इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य सिस्टम तक पहुँचने के लिए भी किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, और एक भेद्य वेबसाइट के माध्यम से अन्य वेबसाइटों तक पहुँच प्राप्त की जा सकती है।
CVE-2024-43248 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और सार्वजनिक रूप से उपलब्ध विवरण के कारण, इसका शोषण होने की संभावना है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बनाते हैं।
WordPress websites utilizing Bit Form Pro, particularly those with older versions (≤2.6.4) and those that haven't implemented robust file upload security measures, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bit-form-pro/*• generic web:
curl -I 'http://your-website.com/wp-content/plugins/bit-form-pro/path/../sensitive_file.txt' # Check for 200 OK responsedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.25% (48% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-43248 के लिए प्राथमिक शमन Bit Form Pro को संस्करण 2.6.5 में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल एक्सेस प्रतिबंधों को मजबूत करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। WAF नियमों को उन अनुरोधों को ब्लॉक करना चाहिए जो पथ ट्रैवर्सल पैटर्न का उपयोग करते हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, Bit Form Pro इंस्टॉलेशन की फ़ाइल अनुमतियों की समीक्षा करना और यह सुनिश्चित करना महत्वपूर्ण है कि केवल आवश्यक उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुँच हो। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल एक्सेस अनुरोधों का परीक्षण करके और यह सुनिश्चित करके कि अनधिकृत फ़ाइलों तक पहुँच प्राप्त नहीं की जा सकती है।
Actualice el plugin Bit Form Pro a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Verifique que la versión actualizada sea posterior a la 2.6.4.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-43248 Bit Form Pro में एक Arbitrary File Access भेद्यता है जो हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Bit Form Pro के संस्करण ≤2.6.4 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Bit Form Pro को संस्करण 2.6.5 में अपडेट करें।
CVE-2024-43248 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
Bit Form Pro के आधिकारिक सलाहकार के लिए Bit Apps वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।