प्लेटफ़ॉर्म
wordpress
घटक
jet-elements
में ठीक किया गया
2.6.21
CVE-2024-7145 JetElements प्लगइन में एक गंभीर लोकल फ़ाइल इन्क्लूज़न (LFI) भेद्यता है। यह भेद्यता प्रमाणित हमलावरों को सर्वर पर मनमानी फ़ाइलें शामिल करने और निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा का खुलासा या सिस्टम पर नियंत्रण हासिल करने का जोखिम होता है। यह भेद्यता JetElements के संस्करण 2.6.20 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को सर्वर पर मनमानी PHP कोड निष्पादित करने की अनुमति देती है, जिससे वे संवेदनशील डेटा तक पहुंच सकते हैं, सिस्टम कॉन्फ़िगरेशन बदल सकते हैं, या यहां तक कि सर्वर पर पूर्ण नियंत्रण हासिल कर सकते हैं। चूंकि भेद्यता के लिए केवल 'Contributor' स्तर की पहुंच की आवश्यकता होती है, इसलिए यह कई वर्डप्रेस वेबसाइटों के लिए एक महत्वपूर्ण जोखिम पैदा करता है। हमलावर छवियों या अन्य 'सुरक्षित' फ़ाइल प्रकारों को अपलोड करके और उन्हें शामिल करके भेद्यता का फायदा उठा सकते हैं। यह भेद्यता अन्य सर्वर-साइड भेद्यताओं के समान है, जहां हमलावर फ़ाइल सिस्टम तक पहुंच प्राप्त करने के लिए LFI का उपयोग करते हैं।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन भेद्यता की गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। NVD ने 2024-08-16 को इस भेद्यता को प्रकाशित किया। सक्रिय शोषण अभियान की जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की सार्वजनिक उपलब्धता के कारण, इसका शोषण होने की संभावना है।
WordPress websites using the JetElements plugin, particularly those with multiple users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable. Sites using older, unpatched versions of the plugin are most susceptible to exploitation.
• wordpress / composer / npm:
grep -r 'progress_type' /var/www/html/wp-content/plugins/jet-elements/• wordpress / composer / npm:
wp plugin list --status=all | grep jet-elements• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -type f -name '*.php'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.57% (69% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-7145 को कम करने के लिए, JetElements प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड प्रतिबंधों को लागू करने पर विचार करें ताकि हमलावरों को मनमानी फ़ाइलें अपलोड करने से रोका जा सके। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'progress_type' पैरामीटर के माध्यम से फ़ाइल इन्क्लूज़न प्रयासों को ब्लॉक किया जा सकता है। नियमित रूप से लॉग की निगरानी करना और किसी भी संदिग्ध गतिविधि की जांच करना भी महत्वपूर्ण है।
Actualice el plugin JetElements a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-7145 JetElements प्लगइन में एक भेद्यता है जो हमलावरों को मनमानी फ़ाइलें शामिल करने और निष्पादित करने की अनुमति देती है, जिससे डेटा चोरी या सिस्टम नियंत्रण का जोखिम होता है।
यदि आप JetElements प्लगइन के संस्करण 2.6.20 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
JetElements प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो फ़ाइल अपलोड प्रतिबंधों को लागू करें और WAF का उपयोग करें।
हालांकि सक्रिय शोषण अभियान की पुष्टि नहीं हुई है, लेकिन भेद्यता की सार्वजनिक उपलब्धता के कारण, इसका शोषण होने की संभावना है।
आधिकारिक सलाहकार के लिए JetElements वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।