प्लेटफ़ॉर्म
wordpress
घटक
wp-timelines
में ठीक किया गया
3.6.8
CVE-2024-47324 एक पथ पारगमन भेद्यता है जो WP Timeline – Vertical and Horizontal timeline प्लगइन में मौजूद है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने और निष्पादित करने की अनुमति दे सकती है, जिससे संभावित रूप से सर्वर पर नियंत्रण खो सकता है। यह भेद्यता WP Timeline प्लगइन के संस्करणों 3.6.7 और उससे पहले को प्रभावित करती है। प्लगइन को संस्करण 3.6.8 में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील जानकारी तक पहुँचने की अनुमति देती है। वे PHP फ़ाइल समावेशन का उपयोग करके मनमाना कोड निष्पादित कर सकते हैं, जिससे वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। हमलावर डेटा को संशोधित या हटा सकते हैं, दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित कर सकते हैं, या अन्य सिस्टम पर हमला करने के लिए सर्वर का उपयोग कर सकते हैं। इस भेद्यता का शोषण करने से वेबसाइट की प्रतिष्ठा को गंभीर नुकसान हो सकता है और उपयोगकर्ताओं की गोपनीयता से समझौता हो सकता है। यह भेद्यता लॉग4शेल जैसी अन्य फ़ाइल समावेशन भेद्यताओं के समान जोखिम पैदा करती है, जहाँ हमलावर सिस्टम के भीतर अनधिकृत क्रियाएं कर सकते हैं।
CVE-2024-47324 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और सार्वजनिक रूप से उपलब्ध विवरण के कारण, इसका शोषण होने की संभावना है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता का शोषण करने की क्षमता को उजागर करते हैं।
Websites using the WP Timeline – Vertical and Horizontal timeline plugin, particularly those running older versions (≤3.6.7), are at risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher density of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-timeline/• wordpress / composer / npm:
wp plugin list --status=inactive | grep timeline• wordpress / composer / npm:
wp plugin update wp-timeline --all• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated IOCs.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.22% (44% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-47324 के प्रभाव को कम करने के लिए, WP Timeline प्लगइन को तुरंत संस्करण 3.6.8 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक कर सकते हैं। WAF नियमों को इस तरह कॉन्फ़िगर करें कि वे फ़ाइल अनुरोधों को फ़िल्टर करें जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे '..' अनुक्रम। इसके अतिरिक्त, प्लगइन फ़ाइलों तक पहुँच को सीमित करने के लिए फ़ाइल सिस्टम अनुमतियों को सख्त करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, प्लगइन फ़ाइलों तक अनधिकृत पहुँच के लिए सिस्टम लॉग की जाँच करें।
Actualice el plugin WP Timeline a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad y protege su sitio web.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-47324 एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे PHP फ़ाइल समावेशन हो सकता है।
यदि आप WP Timeline प्लगइन के संस्करण 3.6.7 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WP Timeline प्लगइन को संस्करण 3.6.8 में अपडेट करें।
CVE-2024-47324 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
कृपया WP Timeline वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।