प्लेटफ़ॉर्म
wordpress
घटक
users-control
में ठीक किया गया
1.0.17
Users Control में एक पथ पारगमन (Path Traversal) भेद्यता की पहचान की गई है, जो PHP लोकल फ़ाइल समावेश (Local File Inclusion) की अनुमति देती है। इस भेद्यता के कारण हमलावर अनधिकृत फ़ाइलों तक पहुँच सकते हैं और सिस्टम पर नियंत्रण कर सकते हैं। यह भेद्यता Users Control के संस्करणों 1.0.16 और उससे पहले को प्रभावित करती है। संस्करण 1.0.17 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Users Control इंस्टॉलेशन निर्देशिका के बाहर स्थित फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर संवेदनशील डेटा पढ़ सकते हैं, सिस्टम कॉन्फ़िगरेशन फ़ाइलों को संशोधित कर सकते हैं, या यहां तक कि दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। एक सफल शोषण से सिस्टम की सुरक्षा से समझौता हो सकता है और डेटा हानि हो सकती है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, जिससे एक वेबसाइट पर शोषण अन्य वेबसाइटों को भी प्रभावित कर सकता है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसे शामिल किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2024-10-05 है।
WordPress websites using the Users Control plugin, particularly those running versions prior to 1.0.17, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations, making exploitation easier.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/users-control/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/users-control/../../../../etc/passwd | head -n 1disclosure
एक्सप्लॉइट स्थिति
EPSS
0.30% (53% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, Users Control को संस्करण 1.0.17 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Users Control इंस्टॉलेशन निर्देशिका के लिए फ़ाइल सिस्टम अनुमतियों को सख्त करें, ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही फ़ाइलों तक पहुँच हो। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने के लिए नियम कॉन्फ़िगर करें। नियमित रूप से लॉग की निगरानी करें और किसी भी असामान्य गतिविधि के लिए जांच करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल सिस्टम अनुमतियों और WAF नियमों की समीक्षा करें।
Actualiza el plugin Users Control a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.0.16. Verifica que la versión actualizada esté instalada correctamente en tu sitio de WordPress.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-44015 Users Control में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Users Control के संस्करण 1.0.16 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Users Control को संस्करण 1.0.17 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करें और WAF नियमों को कॉन्फ़िगर करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
कृपया Users Control के आधिकारिक वेबसाइट पर जाएं या संबंधित सुरक्षा सलाहकार की तलाश करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।