प्लेटफ़ॉर्म
wordpress
घटक
wp-newsletter-subscription
में ठीक किया गया
1.1.1
WP Newsletter Subscription में एक पथ पारगमन (Path Traversal) भेद्यता की खोज की गई है, जो PHP लोकल फ़ाइल समावेशन (LFI) का कारण बन सकती है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने और निष्पादित करने की अनुमति दे सकती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता WP Newsletter Subscription के संस्करणों ≤1.1 को प्रभावित करती है। संस्करण 1.1.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिससे संवेदनशील जानकारी उजागर हो सकती है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य गोपनीय डेटा। हमलावर इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने के लिए भी कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। पथ पारगमन भेद्यता के कारण, हमलावर आसानी से सिस्टम के अन्य हिस्सों तक पहुँच सकते हैं और आगे के हमले कर सकते हैं। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में खतरनाक है, जहाँ एक हमलावर अन्य वेबसाइटों को भी लक्षित कर सकता है।
यह CVE अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। यह भेद्यता 2024-10-05 को प्रकाशित की गई थी।
Websites using the WP Newsletter Subscription plugin, particularly those running older versions (≤1.1), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin configurations and security measures. Sites with weak file permissions or inadequate server-level security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-newsletter-subscription/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-newsletter-subscription/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.30% (53% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, WP Newsletter Subscription को संस्करण 1.1.1 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि हमलावर मनमाने ढंग से फ़ाइलों को पढ़ न सकें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने के लिए नियम कॉन्फ़िगर करें। सुनिश्चित करें कि WP Newsletter Subscription के लिए उपयोग किए जाने वाले सभी फ़ोल्डर और फ़ाइलें उचित रूप से सुरक्षित हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल सिस्टम अनुमतियों की जांच करें और WAF नियमों की प्रभावशीलता का परीक्षण करें।
Actualice el plugin WP Newsletter Subscription a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Revise las configuraciones del plugin para asegurar que no haya opciones que permitan la inclusión de archivos locales.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-44012 WP Newsletter Subscription में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेशन (LFI) का शोषण करने की अनुमति देती है, जिससे संवेदनशील जानकारी उजागर हो सकती है या मनमाना कोड निष्पादित किया जा सकता है।
यदि आप WP Newsletter Subscription के संस्करण ≤1.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
WP Newsletter Subscription को संस्करण 1.1.1 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करें और WAF नियमों को कॉन्फ़िगर करें।
सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं।
आधिकारिक सलाहकार के लिए WP Newsletter Subscription वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।