प्लेटफ़ॉर्म
wordpress
घटक
wp-cookies-enabler
में ठीक किया गया
1.0.2
CVE-2024-54380 एक पथ पारगमन (Path Traversal) भेद्यता है जो WP Cookies Enabler प्लगइन में पाई गई है। यह भेद्यता हमलावरों को PHP लोकल फ़ाइल समावेशन (Local File Inclusion) का उपयोग करके सिस्टम फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह भेद्यता WP Cookies Enabler के संस्करणों ≤1.0.1 को प्रभावित करती है। संस्करण 1.0.2 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है, जिससे संवेदनशील डेटा का खुलासा, सिस्टम का समझौता और संभावित रूप से सर्वर पर पूर्ण नियंत्रण हो सकता है। हमलावर प्लगइन फ़ाइलों को संशोधित करके या दुर्भावनापूर्ण कोड इंजेक्ट करके सिस्टम को प्रभावित कर सकते हैं। इस भेद्यता का उपयोग सर्वर पर अन्य अनुप्रयोगों और सेवाओं को लक्षित करने के लिए भी किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह स्थानीय फ़ाइल समावेशन (Local File Inclusion) की अनुमति देती है, जिसका अर्थ है कि हमलावर को सर्वर तक पहुंच की आवश्यकता नहीं है।
यह CVE अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण की कोई रिपोर्ट नहीं है। NVD और CISA ने 2024-12-16 को इस भेद्यता को प्रकाशित किया। इस भेद्यता का शोषण करने की संभावना मध्यम है, क्योंकि यह स्थानीय फ़ाइल समावेशन (Local File Inclusion) की अनुमति देती है, लेकिन इसके लिए हमलावर को प्लगइन तक पहुंच की आवश्यकता होती है।
Websites using the WP Cookies Enabler plugin, particularly those running older versions (≤1.0.1), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with weak file access permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-cookies-enabler/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-cookies-enabler/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (40% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, WP Cookies Enabler प्लगइन को संस्करण 1.0.2 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, प्लगइन फ़ाइलों तक पहुंच को सीमित करने के लिए फ़ाइल सिस्टम अनुमतियों को सख्त करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करें। अपने वेब सर्वर और प्लगइन फ़ाइलों की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। यदि संभव हो, तो प्लगइन को अक्षम करें जब तक कि अपडेट उपलब्ध न हो जाए। अपडेट के बाद, सुनिश्चित करें कि प्लगइन ठीक से काम कर रहा है और कोई नई समस्या नहीं है।
Actualice el plugin WP Cookies Enabler a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-54380 WP Cookies Enabler प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेशन (Local File Inclusion) का उपयोग करके सिस्टम फ़ाइलों तक पहुंचने की अनुमति देती है।
यदि आप WP Cookies Enabler के संस्करण 1.0.1 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WP Cookies Enabler प्लगइन को संस्करण 1.0.2 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करें और WAF का उपयोग करें।
अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
कृपया WP Cookies Enabler डेवलपर की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।