प्लेटफ़ॉर्म
wordpress
घटक
pandavideo
में ठीक किया गया
1.4.1
Panda Video वर्डप्रेस प्लगइन में एक गंभीर भेद्यता पाई गई है, जो स्थानीय फ़ाइल समावेशन (LFI) की अनुमति देती है। यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने और निष्पादित करने की क्षमता प्रदान करती है, जिससे संवेदनशील डेटा तक पहुंच या सिस्टम पर नियंत्रण खोने का खतरा होता है। यह भेद्यता संस्करण 1.4.0 और उससे पहले के सभी संस्करणों को प्रभावित करती है। प्लगइन को तुरंत अपडेट करके इस जोखिम को कम किया जाना चाहिए।
यह भेद्यता हमलावरों के लिए वर्डप्रेस वेबसाइट पर मनमाना PHP कोड निष्पादित करने का मार्ग खोलती है। हमलावर 'selected_button' पैरामीटर का उपयोग करके सर्वर पर स्थित किसी भी फ़ाइल को शामिल कर सकते हैं, जिससे वे संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, जैसे कि डेटाबेस क्रेडेंशियल या कॉन्फ़िगरेशन फ़ाइलें। इसके अतिरिक्त, हमलावर वेबसाइट की कार्यक्षमता को बाधित करने, दुर्भावनापूर्ण सामग्री इंजेक्ट करने या सिस्टम पर पूर्ण नियंत्रण हासिल करने के लिए इस भेद्यता का उपयोग कर सकते हैं। चूंकि भेद्यता के लिए केवल 'Contributor' स्तर की पहुंच की आवश्यकता होती है, इसलिए यह कई वर्डप्रेस वेबसाइटों के लिए एक महत्वपूर्ण जोखिम है।
CVE-2024-5456 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। यह भेद्यता 2024-07-09 को प्रकाशित हुई थी।
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttondisclosure
एक्सप्लॉइट स्थिति
EPSS
0.58% (69% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने का सबसे प्रभावी तरीका Panda Video प्लगइन को संस्करण 1.4.0 से ऊपर के नवीनतम संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'selectedbutton' पैरामीटर के लिए इनपुट को फ़िल्टर कर सकते हैं ताकि मनमाना फ़ाइल पथों को शामिल होने से रोका जा सके। इसके अतिरिक्त, सुनिश्चित करें कि आपके वर्डप्रेस इंस्टॉलेशन में सख्त फ़ाइल अनुमतियाँ हैं और केवल विश्वसनीय स्रोतों से ही फ़ाइलें अपलोड की जाती हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, 'selectedbutton' पैरामीटर के माध्यम से मनमानी फ़ाइलें शामिल करने का प्रयास करके।
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-5456 Panda Video वर्डप्रेस प्लगइन में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा चोरी या सिस्टम नियंत्रण खोने का खतरा होता है।
यदि आप Panda Video प्लगइन के संस्करण 1.4.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Panda Video प्लगइन को संस्करण 1.4.0 से ऊपर के नवीनतम संस्करण में अपडेट करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं है, भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए Panda Video वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।