प्लेटफ़ॉर्म
wordpress
घटक
vr-calendar-sync
में ठीक किया गया
2.4.1
VR Calendar में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता PHP लोकल फ़ाइल समावेश (Local File Inclusion) का कारण बनती है। VR Calendar के संस्करण 2.4.0 और उससे पहले के संस्करण प्रभावित हैं। संस्करण 2.4.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य गोपनीय डेटा शामिल हो सकते हैं। हमलावर इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए भी कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर आसानी से सिस्टम के अन्य हिस्सों तक पहुँच प्राप्त कर सकते हैं, जिससे संभावित रूप से डेटा उल्लंघन और सिस्टम समझौता हो सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। 2024-10-05 को CVE प्रकाशित किया गया था।
Websites utilizing the VR Calendar plugin, particularly those running older versions (≤2.4.0), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. WordPress sites with weak file permission settings or inadequate input validation are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/vr-calendar/*• wordpress / composer / npm:
wp plugin list --status=active | grep vr-calendar• wordpress / composer / npm:
wp plugin update vr-calendar --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.30% (53% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, VR Calendar को संस्करण 2.4.1 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने का प्रयास करें। WAF नियमों को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर करें जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, सुनिश्चित करें कि VR Calendar फ़ाइलों तक पहुँच को केवल अधिकृत उपयोगकर्ताओं तक ही सीमित किया गया है। फ़ाइल अनुमतियों को सख्त करें और अनावश्यक फ़ाइलों को हटा दें।
Actualice el plugin VR Calendar a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-44013 VR Calendar में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेश (Local File Inclusion) का शोषण करने की अनुमति देती है, जिससे संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो सकती है।
यदि आप VR Calendar के संस्करण 2.4.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
VR Calendar को संस्करण 2.4.1 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों का उपयोग करके पथ पारगमन हमलों को ब्लॉक करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) मौजूद हो सकते हैं।
कृपया Innate Images LLC की वेबसाइट पर जाएँ या VR Calendar के दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।