प्लेटफ़ॉर्म
wordpress
घटक
wp-bootscraper
में ठीक किया गया
2.1.1
Bootscraper WordPress प्लगइन में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) पाई गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुंचने की अनुमति देती है। यह भेद्यता PHP लोकल फ़ाइल समावेश (Local File Inclusion) का कारण बनती है। यह समस्या Bootscraper के संस्करण n/a से लेकर 2.1.0 तक के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 2.1.1 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य गोपनीय डेटा शामिल हो सकते हैं। हमलावर इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए भी कर सकते हैं। पथ पारगमन भेद्यता (Path Traversal vulnerability) का शोषण करने से सिस्टम की सुरक्षा से समझौता हो सकता है और डेटा की गोपनीयता खतरे में पड़ सकती है। इस तरह की भेद्यताएँ अक्सर सर्वर-साइड रिमोट कोड निष्पादन (RCE) के लिए एक प्रारंभिक बिंदु के रूप में उपयोग की जाती हैं।
यह CVE अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन पथ पारगमन भेद्यता (Path Traversal vulnerability) का शोषण करने के लिए कई ज्ञात तकनीकें हैं। NVD ने 2024-11-20 को इस भेद्यता को प्रकाशित किया। सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन इस प्रकार की भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं।
WordPress websites utilizing the Navneil Bootscraper plugin, particularly those running older versions (≤2.1.0), are at risk. Shared hosting environments where server file permissions are less tightly controlled are especially vulnerable, as attackers may be able to leverage the vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bootscraper/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/bootscraper/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.59% (69% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी उपाय Bootscraper प्लगइन को संस्करण 2.1.1 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना जोखिम को कम करने में मदद कर सकता है। सुनिश्चित करें कि WordPress इंस्टॉलेशन नवीनतम सुरक्षा पैच के साथ अपडेटेड है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल अनुमतियों की जाँच करें और WAF नियमों की प्रभावशीलता का परीक्षण करें।
Actualice el plugin Bootscraper a la última versión disponible. Si no hay una versión más reciente, considere desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-52449 Bootscraper WordPress प्लगइन में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुंचने की अनुमति देती है।
यदि आप Bootscraper प्लगइन के संस्करण 2.1.0 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Bootscraper प्लगइन को संस्करण 2.1.1 या उच्चतर में अपडेट करें।
अभी तक सक्रिय शोषण की कोई जानकारी उपलब्ध नहीं है, लेकिन इस प्रकार की भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं।
आधिकारिक WordPress सलाहकार के लिए, कृपया WordPress सुरक्षा अनुभाग देखें: [https://wordpress.org/news/security/](https://wordpress.org/news/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।