प्लेटफ़ॉर्म
wordpress
घटक
wpoptin
में ठीक किया गया
2.0.2
CVE-2024-47645 एक पथ पारगमन (Path Traversal) भेद्यता है जो Top Bar – PopUps – by WPOptin प्लगइन में पाई गई है। यह भेद्यता हमलावरों को PHP लोकल फ़ाइल समावेश (LFI) का उपयोग करके सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता Top Bar – PopUps – by WPOptin के संस्करणों n/a से 2.0.1 तक प्रभावित करती है। संस्करण 2.0.2 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। हमलावर इस जानकारी का उपयोग सिस्टम को और अधिक समझौता करने, डेटा चोरी करने या दुर्भावनापूर्ण कोड निष्पादित करने के लिए कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर सर्वर के फ़ाइल सिस्टम में नेविगेट कर सकते हैं और उन फ़ाइलों तक पहुँच सकते हैं जो सामान्य रूप से सार्वजनिक रूप से उपलब्ध नहीं हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि इसका उपयोग सर्वर पर अन्य कमजोरियों का फायदा उठाने के लिए किया जा सकता है।
CVE-2024-47645 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो इस भेद्यता का फायदा उठाने के लिए हमलावरों को मार्गदर्शन कर सकते हैं। NVD और CISA ने 2024-10-16 को इस भेद्यता को प्रकाशित किया।
WordPress websites using the Top Bar – PopUps plugin, particularly those running versions 2.0.1 or earlier, are at risk. Shared hosting environments where file permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this flaw to gain access to other websites hosted on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/top-bar-popups-by-wpoptin/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/top-bar-popups-by-wpoptin/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.40% (61% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-47645 के लिए प्राथमिक शमन उपाय Top Bar – PopUps – by WPOptin प्लगइन को संस्करण 2.0.2 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने का प्रयास करें। WAF नियमों को फ़ाइल पथों में असामान्य वर्णों या अनुक्रमों की तलाश करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, प्लगइन की फ़ाइल अनुमतियों को सख्त करना और केवल आवश्यक उपयोगकर्ताओं को ही फ़ाइलों तक पहुँचने की अनुमति देना भी मददगार हो सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के फ़ाइल पथों का परीक्षण करें।
Actualice el plugin WPOptin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-47645 Top Bar – PopUps – by WPOptin प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेश (LFI) का उपयोग करके सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Top Bar – PopUps – by WPOptin के संस्करण 2.0.1 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-47645 को ठीक करने के लिए, Top Bar – PopUps – by WPOptin प्लगइन को संस्करण 2.0.2 या बाद के संस्करण में अपडेट करें।
CVE-2024-47645 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए लक्षित हो सकता है।
आप Top Bar – PopUps – by WPOptin प्लगइन के डेवलपर की वेबसाइट पर CVE-2024-47645 के लिए आधिकारिक सलाहकार पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।