प्लेटफ़ॉर्म
wordpress
घटक
pluginpass-pro-plugintheme-licensing
में ठीक किया गया
0.9.11
CVE-2024-54291 PluginPass में एक Arbitrary File Access भेद्यता है, जो हमलावरों को वेब इनपुट के माध्यम से फ़ाइल सिस्टम कॉल में हेरफेर करने की अनुमति देती है। यह भेद्यता PluginPass के संस्करणों n/a से 0.9.10 तक के संस्करणों को प्रभावित करती है। इस भेद्यता को ठीक करने के लिए, PluginPass को संस्करण 0.9.11 में अपडेट करें। यह भेद्यता 2025-03-28 को प्रकाशित हुई थी।
यह Arbitrary File Access भेद्यता PluginPass उपयोगकर्ताओं के लिए गंभीर जोखिम पैदा करती है। एक हमलावर इस भेद्यता का फायदा उठाकर सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ सकता है, संशोधित कर सकता है या हटा सकता है। इससे संवेदनशील डेटा का खुलासा हो सकता है, सिस्टम की अखंडता से समझौता हो सकता है, या सर्वर पर नियंत्रण हासिल किया जा सकता है। इस भेद्यता का उपयोग करके, हमलावर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस फ़ाइलों या अन्य महत्वपूर्ण फ़ाइलों तक पहुंच प्राप्त कर सकते हैं। यदि हमलावर को सिस्टम पर लिखने की अनुमति मिलती है, तो वे दुर्भावनापूर्ण कोड भी इंजेक्ट कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण हासिल किया जा सकता है।
CVE-2024-54291 अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसका EPSS स्कोर मध्यम है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने इस भेद्यता के लिए अलर्ट जारी किए हैं।
WordPress websites using the PluginPass plugin, particularly those running versions 0.9.10 or earlier, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and file permissions. Websites with legacy PluginPass installations or those that haven't performed regular plugin updates are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pluginpass/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pluginpass/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep pluginpass• wordpress / composer / npm:
wp plugin update pluginpassdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (48% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-54291 के प्रभाव को कम करने के लिए, PluginPass को संस्करण 0.9.11 में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल पथों में पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, PluginPass के कॉन्फ़िगरेशन को सुरक्षित करने और फ़ाइल सिस्टम एक्सेस को सीमित करने के लिए अतिरिक्त सुरक्षा उपाय किए जा सकते हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल पथों में पथ पारगमन हमलों का परीक्षण करें।
Actualice el plugin PluginPass a la última versión disponible. La vulnerabilidad permite la descarga y eliminación arbitraria de archivos, por lo que es crucial actualizar lo antes posible. Consulte la página del plugin en el repositorio de WordPress para obtener la versión más reciente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-54291 PluginPass में एक Arbitrary File Access भेद्यता है जो हमलावरों को वेब इनपुट के माध्यम से फ़ाइल सिस्टम कॉल में हेरफेर करने की अनुमति देती है।
यदि आप PluginPass के संस्करण 0.9.10 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-54291 को ठीक करने के लिए, PluginPass को संस्करण 0.9.11 में अपडेट करें।
CVE-2024-54291 का अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
PluginPass के लिए आधिकारिक सलाहकार के लिए, कृपया PluginPass वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।