प्लेटफ़ॉर्म
wordpress
घटक
ultimate-classified-listings
में ठीक किया गया
1.4.1
WebCodingPlace Ultimate Classified Listings में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) पाई गई है, जो हमलावरों को PHP लोकल फ़ाइल समावेश (Local File Inclusion) करने की अनुमति देती है। इसका मतलब है कि हमलावर सर्वर पर मनमानी फ़ाइलों तक पहुंच प्राप्त कर सकते हैं, जिससे संभावित रूप से संवेदनशील डेटा उजागर हो सकता है। यह भेद्यता Ultimate Classified Listings के संस्करणों 1.4 और उससे पहले को प्रभावित करती है। 2024-11-20 को एक पैच जारी किया गया है, संस्करण 1.4.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर फ़ाइल सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य महत्वपूर्ण डेटा को पढ़ सकते हैं। इस भेद्यता का उपयोग सर्वर पर मनमाना कोड निष्पादित करने के लिए भी किया जा सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। पथ पारगमन भेद्यताएँ अक्सर अन्य भेद्यताओं के साथ मिलकर उपयोग की जाती हैं, जिससे हमले की सतह बढ़ जाती है। इस भेद्यता का शोषण करने के लिए, हमलावर को एक विशेष रूप से तैयार किए गए अनुरोध को भेजना होगा जो सर्वर को एक फ़ाइल को शामिल करने के लिए मजबूर करता है जो उसकी इच्छित फ़ाइल है।
CVE-2024-52448 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। EPSS स्कोर अभी तक निर्धारित नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण के बारे में कोई रिपोर्ट नहीं है। इस भेद्यता को सार्वजनिक रूप से 2024-11-20 को घोषित किया गया था।
WordPress websites utilizing the Ultimate Classified Listings plugin, particularly those running versions 1.4 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with outdated or unmanaged WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-classified-listings/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/ultimate-classified-listings/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.22% (44% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय Ultimate Classified Listings को संस्करण 1.4.1 में अपडेट करना है, जिसमें इस भेद्यता को ठीक किया गया है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो पथ पारगमन हमलों को ब्लॉक करता है। WAF को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, सर्वर पर फ़ाइल अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना जोखिम को कम करने में मदद कर सकता है। फ़ाइल अनुमतियों को इस तरह से कॉन्फ़िगर किया जाना चाहिए कि केवल आवश्यक उपयोगकर्ताओं और प्रक्रियाओं के पास ही फ़ाइलों तक पहुंच हो।
Actualice el plugin Ultimate Classified Listings a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-52448 WebCodingPlace Ultimate Classified Listings में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेश करने की अनुमति देती है, जिससे संवेदनशील फ़ाइलों तक पहुंच हो सकती है।
यदि आप WebCodingPlace Ultimate Classified Listings के संस्करण 1.4 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-52448 को ठीक करने के लिए, Ultimate Classified Listings को संस्करण 1.4.1 में अपडेट करें।
अभी तक सक्रिय शोषण के बारे में कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
कृपया WebCodingPlace की वेबसाइट पर जाएं या उनके सुरक्षा सलाहकार अनुभाग की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।