प्लेटफ़ॉर्म
wordpress
घटक
instant-chat-wp
में ठीक किया गया
1.0.6
CVE-2024-44018 एक पथ पारगमन (Path Traversal) भेद्यता है जो WordPress वेबसाइटों के लिए Instant Chat Floating Button प्लगइन में पाई गई है। यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने की अनुमति देती है, जिससे संवेदनशील डेटा उजागर हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता Instant Chat Floating Button के संस्करणों 1.0.5 और उससे पहले को प्रभावित करती है। प्लगइन को संस्करण 1.0.6 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। हमलावर इस जानकारी का उपयोग सिस्टम पर नियंत्रण प्राप्त करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर आसानी से सिस्टम के भीतर आगे बढ़ सकते हैं और अन्य कमजोरियों का फायदा उठा सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह WordPress वेबसाइटों को प्रभावित करती है, जो अक्सर महत्वपूर्ण डेटा और अनुप्रयोगों को होस्ट करती हैं।
CVE-2024-44018 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं, लेकिन इसकी उच्च CVSS स्कोर (7.5) इंगित करती है कि यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता CISA KEV में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, इसलिए सुरक्षा टीमों को सतर्क रहना चाहिए और अपने सिस्टम को सुरक्षित करने के लिए तुरंत कार्रवाई करनी चाहिए।
WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.30% (53% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-44018 को कम करने के लिए, Instant Chat Floating Button प्लगइन को तुरंत संस्करण 1.0.6 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप प्लगइन की फ़ाइल अनुमतियों को सख्त करके और सर्वर पर अनावश्यक फ़ाइलों को हटाकर जोखिम को कम कर सकते हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन की फ़ाइलों की अखंडता की जांच करें।
Actualice el plugin Instant Chat WP a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la página del plugin en WordPress.org para obtener más información y actualizaciones.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-44018 Instant Chat Floating Button प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने की अनुमति देती है।
यदि आप Instant Chat Floating Button प्लगइन के संस्करण 1.0.5 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Instant Chat Floating Button प्लगइन को संस्करण 1.0.6 में अपडेट करें।
CVE-2024-44018 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन इसकी उच्च CVSS स्कोर इंगित करती है कि यह शोषण के लिए एक आकर्षक लक्ष्य है।
कृपया प्लगइन डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।