प्लेटफ़ॉर्म
wordpress
घटक
lastudio-element-kit
में ठीक किया गया
1.3.9
LA-Studio Element Kit for Elementor प्लगइन में एक लोकल फ़ाइल समावेशन (LFI) भेद्यता पाई गई है, जो संस्करण 1.3.8.1 और उससे पहले के संस्करणों को प्रभावित करती है। यह भेद्यता प्रमाणित हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है या कोड निष्पादन प्राप्त हो सकता है। इस भेद्यता को ठीक करने के लिए, प्लगइन को संस्करण 1.3.8.1 या उच्चतर में अपग्रेड करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को WordPress वेबसाइट पर मनमाने PHP कोड निष्पादित करने की अनुमति देती है, जिससे वेबसाइट की सुरक्षा से समझौता हो सकता है। हमलावर संवेदनशील डेटा, जैसे उपयोगकर्ता नाम, पासवर्ड और अन्य गोपनीय जानकारी तक पहुंच प्राप्त कर सकते हैं। वे वेबसाइट को भी संशोधित कर सकते हैं या दुर्भावनापूर्ण सामग्री अपलोड कर सकते हैं। चूंकि भेद्यता प्रमाणित उपयोगकर्ताओं के लिए खुली है, इसलिए कम विशेषाधिकार वाले हमलावरों (जैसे कि योगदानकर्ता स्तर) के लिए भी शोषण संभव है। यह भेद्यता वेबसाइट की अखंडता और उपलब्धता को गंभीर रूप से खतरे में डाल सकती है।
CVE-2024-5349 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता को देखते हुए, भविष्य में शोषण की संभावना है। यह भेद्यता सार्वजनिक रूप से ज्ञात है और एक सार्वजनिक प्रमाण-अवधारणा (PoC) उपलब्ध हो सकती है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। NVD में प्रकाशन तिथि 2024-07-02 है।
WordPress websites using the LA-Studio Element Kit for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file uploads and execution are especially vulnerable, as attackers may be able to leverage this vulnerability to compromise other sites on the same server.
• wordpress / composer / npm:
grep -r 'map_style' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/la-studio-element-kit-for-elementor/map_style.php• wordpress / composer / npm:
wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.49% (65% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-5349 को कम करने के लिए, सबसे महत्वपूर्ण कदम LA-Studio Element Kit for Elementor प्लगइन को संस्करण 1.3.8.1 या उच्चतर में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल समावेशन को रोकने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, 'map_style' पैरामीटर के लिए इनपुट सत्यापन को मजबूत करना और फ़ाइल अपलोड को प्रतिबंधित करना भी मदद कर सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के फ़ंक्शन को ध्यान से जांचें।
Actualice el plugin LA-Studio Element Kit for Elementor a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-5349 LA-Studio Element Kit for Elementor प्लगइन में एक लोकल फ़ाइल समावेशन (LFI) भेद्यता है जो हमलावरों को मनमाने PHP कोड निष्पादित करने की अनुमति देती है।
यदि आप LA-Studio Element Kit for Elementor प्लगइन के संस्करण 1.3.8.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2024-5349 को ठीक करने के लिए, LA-Studio Element Kit for Elementor प्लगइन को संस्करण 1.3.8.1 या उच्चतर में अपग्रेड करें।
CVE-2024-5349 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भविष्य में शोषण की संभावना है।
कृपया LA-Studio Element Kit वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।