प्लेटफ़ॉर्म
wordpress
घटक
maxi-blocks
में ठीक किया गया
1.9.3
CVE-2024-6885 एक गंभीर भेद्यता है जो MaxiBlocks: 2200+ Patterns, 190 Pages, 14.2K Icons & 100 Styles वर्डप्रेस प्लगइन को प्रभावित करती है. यह भेद्यता प्रमाणित हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है. यह भेद्यता संस्करण 1.9.2 और उससे पहले के संस्करणों को प्रभावित करती है. प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है.
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे गंभीर परिणाम हो सकते हैं. उदाहरण के लिए, यदि हमलावर wp-config.php फ़ाइल को हटा देता है, तो वे वर्डप्रेस इंस्टॉलेशन पर पूर्ण नियंत्रण प्राप्त कर सकते हैं. यह डेटा चोरी, वेबसाइट डिफेसमेंट या अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है. चूंकि यह भेद्यता प्रमाणित हमलावरों को लक्षित करती है, इसलिए सब्सक्राइबर-स्तरीय एक्सेस या उससे ऊपर वाले उपयोगकर्ताओं को विशेष रूप से जोखिम होता है. इस भेद्यता का शोषण करने के लिए, हमलावर को प्लगइन के maxiremovecustomimagesize और maxiaddcustomimagesize कार्यों में फ़ाइल पथ सत्यापन की कमी का फायदा उठाना होगा.
CVE-2024-6885 को अभी तक KEV में जोड़ा नहीं गया है. EPSS स्कोर उपलब्ध नहीं है. सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका जल्द ही शोषण होने की संभावना है. यह भेद्यता 2024-07-23 को प्रकाशित हुई थी.
WordPress websites utilizing the MaxiBlocks plugin, particularly those with Subscriber-level users or higher who have access to plugin settings, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Websites with outdated plugin versions are at the highest risk.
• wordpress / composer / npm:
wp plugin list | grep MaxiBlocks• wordpress / composer / npm:
wp plugin update MaxiBlocks• wordpress / composer / npm:
grep -r 'maxi_remove_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/• wordpress / composer / npm:
grep -r 'maxi_add_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/disclosure
एक्सप्लॉइट स्थिति
EPSS
7.87% (92% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-6885 को कम करने के लिए, सबसे महत्वपूर्ण कदम MaxiBlocks प्लगइन को नवीनतम संस्करण में अपडेट करना है. यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो फ़ाइल हटाने के प्रयासों को ब्लॉक करता है. इसके अतिरिक्त, आप प्लगइन के फ़ाइल पथ सत्यापन को मजबूत करने के लिए प्लगइन कोड में बदलाव कर सकते हैं, लेकिन यह एक जटिल प्रक्रिया है और इसे सावधानी से किया जाना चाहिए. अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल हटाने के प्रयासों का अनुकरण करके जांच करें.
Actualice el plugin MaxiBlocks a la última versión disponible. La vulnerabilidad que permite la eliminación arbitraria de archivos ha sido corregida en versiones posteriores a la 1.9.2. Esto evitará que usuarios autenticados con privilegios de suscriptor o superiores puedan explotar esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-6885 MaxiBlocks प्लगइन में एक भेद्यता है जो प्रमाणित हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है.
यदि आप MaxiBlocks प्लगइन के संस्करण 1.9.2 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं.
MaxiBlocks प्लगइन को नवीनतम संस्करण में अपडेट करें.
हालांकि अभी तक सार्वजनिक शोषण नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका जल्द ही शोषण होने की संभावना है.
अधिक जानकारी के लिए MaxiBlocks प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस सुरक्षा एडवाइजरी देखें.
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।