प्लेटफ़ॉर्म
wordpress
घटक
social-web-suite
में ठीक किया गया
4.1.12
सोशल वेब सूट – सोशल मीडिया ऑटो पोस्ट, सोशल मीडिया ऑटो पब्लिश प्लगइन में एक डायरेक्टरी ट्रैवर्सल भेद्यता पाई गई है। यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता प्लगइन के संस्करण 4.1.11 और उससे पहले के संस्करणों को प्रभावित करती है। 2024-10-03 को यह भेद्यता सार्वजनिक की गई थी और इसे ठीक करने के लिए अपडेट उपलब्ध हैं।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। इसका मतलब है कि वे कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं। इस जानकारी का उपयोग सिस्टम पर आगे के हमले करने या डेटा चुराने के लिए किया जा सकता है। चूंकि यह भेद्यता बिना प्रमाणीकरण के शोषण योग्य है, इसलिए किसी भी हमलावर के लिए सर्वर पर इस भेद्यता का फायदा उठाना आसान है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहां कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं।
यह भेद्यता 2024-10-03 को सार्वजनिक की गई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही एक PoC जारी किया जाएगा। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। भेद्यता का मूल्यांकन उच्च जोखिम के रूप में किया गया है, क्योंकि यह बिना प्रमाणीकरण के शोषण योग्य है और इसका गंभीर प्रभाव पड़ सकता है।
WordPress websites utilizing the Social Web Suite – Social Media Auto Post, Social Media Auto Publish plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.
• wordpress / composer / npm:
grep -r "download_log function" /var/www/html/wp-content/plugins/social-web-suite-social-media-auto-post-social-media-auto-publish/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/social-web-suite-social-media-auto-post-social-media-auto-publish/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
एक्सप्लॉइट स्थिति
EPSS
3.42% (87% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, सोशल वेब सूट प्लगइन को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके डाउनलोडलॉग फ़ंक्शन तक पहुंच को प्रतिबंधित कर सकते हैं। इसके अतिरिक्त, आप फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल आवश्यक उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुंच प्रदान करके सर्वर की सुरक्षा बढ़ा सकते हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, डाउनलोडलॉग फ़ंक्शन के माध्यम से मनमानी फ़ाइलें पढ़ने का प्रयास करके।
Actualice el plugin Social Web Suite – Social Media Auto Post, Social Media Auto Publish a la última versión disponible. La versión corregida incluye una solución para la vulnerabilidad de recorrido de directorios que permite la descarga de archivos arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-8352 सोशल वेब सूट – सोशल मीडिया ऑटो पोस्ट प्लगइन में एक डायरेक्टरी ट्रैवर्सल भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप सोशल वेब सूट – सोशल मीडिया ऑटो पोस्ट प्लगइन के संस्करण 4.1.11 या उससे पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, सोशल वेब सूट प्लगइन को नवीनतम संस्करण में अपडेट करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही एक PoC जारी किया जाएगा।
कृपया सोशल वेब सूट डेवलपर की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।