प्लेटफ़ॉर्म
wordpress
घटक
page-builder-add
में ठीक किया गया
1.5.3
Landing Page Builder में एक पथ पारगमन (Path Traversal) भेद्यता की पहचान की गई है, जो PHP लोकल फ़ाइल समावेश (Local File Inclusion) की अनुमति देती है। इसका मतलब है कि एक हमलावर अनधिकृत फ़ाइलों तक पहुंच सकता है और संभावित रूप से सिस्टम पर नियंत्रण कर सकता है। यह भेद्यता Landing Page Builder के संस्करण n/a से लेकर 1.5.2.0 तक के संस्करणों को प्रभावित करती है। संस्करण 1.5.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Landing Page Builder इंस्टॉलेशन पर मनमानी PHP फ़ाइलों को शामिल करने की अनुमति देती है। इसका उपयोग संवेदनशील जानकारी को उजागर करने, दुर्भावनापूर्ण कोड निष्पादित करने या सिस्टम पर नियंत्रण हासिल करने के लिए किया जा सकता है। हमलावर वेब सर्वर के रूट निर्देशिका में स्थित कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं। इस भेद्यता का शोषण करने से सिस्टम की सुरक्षा से समझौता हो सकता है और डेटा हानि या चोरी हो सकती है। यह भेद्यता अन्य स्थानीय फ़ाइल समावेश (LFI) भेद्यताओं के समान है, जहां हमलावर पथ हेरफेर तकनीकों का उपयोग करके फ़ाइलों तक पहुंच प्राप्त करते हैं।
यह CVE अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन पथ पारगमन भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। NVD में प्रकाशन की तारीख 2024-08-19 है। इस भेद्यता का सक्रिय रूप से शोषण होने की संभावना कम है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की जानी चाहिए।
WordPress websites utilizing the PluginOps Landing Page Builder plugin, particularly those running versions prior to 1.5.3, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server file permissions, increasing the potential impact of a successful exploit.
• wordpress / plugin:
wp plugin list | grep Landing Page Builder• wordpress / plugin: Check for file inclusion attempts in WordPress access logs, looking for patterns like ../ or ../../ in the request URI.
• wordpress / plugin: Examine the Landing Page Builder plugin's code for instances of filegetcontents or similar functions that handle user-supplied input without proper sanitization.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.70% (72% शतमक)
CISA SSVC
CVSS वेक्टर
Landing Page Builder को तुरंत संस्करण 1.5.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो पथ पारगमन हमलों को ब्लॉक कर सके। WAF नियमों को इस तरह कॉन्फ़िगर करें कि किसी भी अनुरोध को फ़िल्टर किया जा सके जिसमें पथ हेरफेर के प्रयास शामिल हैं, जैसे कि '..' या '/' जैसे वर्णों का उपयोग। इसके अतिरिक्त, Landing Page Builder के फ़ाइल अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही संवेदनशील फ़ाइलों तक पहुंच हो। नियमित रूप से फ़ाइल सिस्टम की निगरानी करें ताकि किसी भी अनधिकृत फ़ाइल एक्सेस का पता लगाया जा सके।
Actualice el plugin Landing Page Builder a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.5.2.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Landing Page Builder' para actualizarlo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-43345 Landing Page Builder में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेश (Local File Inclusion) की अनुमति देती है, जिससे संवेदनशील फ़ाइलों तक पहुंच संभव है।
यदि आप Landing Page Builder के संस्करण 1.5.2.0 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Landing Page Builder को तुरंत संस्करण 1.5.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों का उपयोग करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की जानी चाहिए।
Landing Page Builder की वेबसाइट पर आधिकारिक सलाहकार देखें या उनके सुरक्षा नोटिस अनुभाग में खोजें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।