प्लेटफ़ॉर्म
wordpress
घटक
embedpress
में ठीक किया गया
4.0.10
CVE-2024-43328 एक पथ पारगमन भेद्यता है जो WPDeveloper के EmbedPress वर्डप्रेस प्लगइन में पाई गई है। यह भेद्यता हमलावरों को PHP लोकल फ़ाइल समावेश (LFI) करने की अनुमति देती है, जिससे संवेदनशील फ़ाइलों तक अनधिकृत पहुंच हो सकती है। यह भेद्यता EmbedPress के संस्करणों n/a से 4.0.9 तक के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 4.0.10 में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य गोपनीय डेटा शामिल हो सकते हैं। हमलावर इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए भी कर सकते हैं। पथ पारगमन भेद्यता का शोषण करने से सिस्टम की सुरक्षा से समझौता हो सकता है और डेटा उल्लंघन हो सकता है। इस भेद्यता का प्रभाव गंभीर हो सकता है, खासकर यदि सर्वर पर संवेदनशील डेटा संग्रहीत है।
CVE-2024-43328 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक रूप से उपलब्ध है। यह CISA KEV सूची में शामिल नहीं है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इसका शोषण करना आसान बनाते हैं। 2024-08-19 को सार्वजनिक रूप से खुलासा किया गया।
Websites utilizing the EmbedPress plugin, particularly those running older versions (≤4.0.9), are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable, as are sites with misconfigured PHP environments that allow for arbitrary file inclusion.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/embedpress/• wordpress / composer / npm:
wp plugin list --status=active | grep embedpress• wordpress / composer / npm:
wp plugin update embedpress --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
1.18% (79% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-43328 को कम करने के लिए, EmbedPress प्लगइन को तुरंत संस्करण 4.0.10 या उच्चतर में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने का प्रयास करें। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर करें जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुंच हो। अपडेट के बाद, यह सुनिश्चित करने के लिए प्लगइन की जांच करें कि भेद्यता ठीक हो गई है।
Actualiza el plugin EmbedPress a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 4.0.9. Para actualizar, ve al panel de administración de WordPress, luego a la sección de 'Plugins' y busca 'EmbedPress'. Haz clic en 'Actualizar' si hay una versión más reciente disponible.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-43328 EmbedPress वर्डप्रेस प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेश (LFI) करने की अनुमति देती है।
यदि आप EmbedPress प्लगइन के संस्करण 4.0.9 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
EmbedPress प्लगइन को संस्करण 4.0.10 या उच्चतर में अपडेट करें।
CVE-2024-43328 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक रूप से उपलब्ध PoC मौजूद हैं।
आप WPDeveloper की वेबसाइट पर CVE-2024-43328 के लिए आधिकारिक सलाहकार पा सकते हैं: [https://wpscan.com/scan/43328](https://wpscan.com/scan/43328)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।