प्लेटफ़ॉर्म
wordpress
घटक
maxslider
में ठीक किया गया
1.2.4
CVE-2024-47351 एक पथ पारगमन भेद्यता है जो CSSIgniter Team के MaxSlider WordPress प्लगइन में पाई गई है। यह भेद्यता हमलावरों को सर्वर पर संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। यह भेद्यता MaxSlider के संस्करण n/a से लेकर 1.2.3 तक के संस्करणों को प्रभावित करती है। 1.2.4 संस्करण में इस समस्या का समाधान किया गया है।
पथ पारगमन भेद्यता का मतलब है कि हमलावर सर्वर पर फ़ाइलों तक पहुँच सकते हैं जो उनके लिए अभिप्रेत नहीं हैं। MaxSlider प्लगइन के मामले में, हमलावर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य संवेदनशील जानकारी तक पहुँच सकते हैं। इस जानकारी का उपयोग सर्वर पर नियंत्रण हासिल करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। यह भेद्यता WordPress वेबसाइटों के लिए एक गंभीर खतरा है, खासकर यदि वे MaxSlider प्लगइन का उपयोग कर रहे हैं। इस तरह की भेद्यता का शोषण करने से वेबसाइट की सुरक्षा से समझौता हो सकता है और संवेदनशील डेटा का खुलासा हो सकता है।
CVE-2024-47351 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं मिले हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही POC जारी किए जाएंगे।
WordPress websites utilizing the MaxSlider plugin, particularly those running older versions (≤1.2.3), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be less able to implement workarounds or monitor for suspicious activity. Sites with sensitive data stored on the same server are also at heightened risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/maxslider/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/maxslider/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep maxslider• wordpress / composer / npm:
wp plugin update maxsliderdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.29% (53% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-47351 को कम करने के लिए, MaxSlider प्लगइन को तुरंत संस्करण 1.2.4 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि ../। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का सफलतापूर्वक समाधान किया गया है, प्लगइन के फ़ाइलों को स्कैन करें और किसी भी असामान्य गतिविधि की निगरानी करें।
Actualiza el plugin MaxSlider a la última versión disponible. Si no hay una versión más reciente, considera deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Verifica que el plugin esté actualizado regularmente para evitar futuras vulnerabilidades.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-47351 MaxSlider WordPress प्लगइन में एक पथ पारगमन भेद्यता है, जो हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप MaxSlider के संस्करण 1.2.3 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
MaxSlider प्लगइन को संस्करण 1.2.4 में अपडेट करें।
अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है।
CSSIgniter Team की वेबसाइट पर जाएँ या भेद्यता के बारे में जानकारी के लिए WordPress प्लगइन निर्देशिका देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।