प्लेटफ़ॉर्म
wordpress
घटक
userplus
में ठीक किया गया
2.0.1
UserPlus WordPress प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता पाई गई है। इस भेद्यता के कारण, अनधिकृत हमलावर 'formactions' और 'userplusupdateuserprofile' कार्यों में पर्याप्त प्रतिबंधों की कमी का फायदा उठाकर उपयोगकर्ता भूमिका निर्दिष्ट कर सकते हैं। यह भेद्यता UserPlus प्लगइन के संस्करण 2.0 और उससे पहले को प्रभावित करती है। इस समस्या को हल करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करना आवश्यक है।
यह भेद्यता हमलावरों को बिना प्रमाणीकरण के WordPress वेबसाइट पर उपयोगकर्ता भूमिकाओं को बदलने की अनुमति देती है। इसका मतलब है कि वे व्यवस्थापक (administrator) या अन्य विशेषाधिकार प्राप्त उपयोगकर्ताओं के रूप में कार्य कर सकते हैं, जिससे वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, कॉन्फ़िगरेशन बदल सकते हैं, या वेबसाइट पर दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं। इस भेद्यता का उपयोग वेबसाइट की सुरक्षा को पूरी तरह से खतरे में डालने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन वेबसाइटों के लिए गंभीर है जो UserPlus प्लगइन का उपयोग उपयोगकर्ता प्रोफाइल प्रबंधन के लिए करती हैं।
यह भेद्यता 2024-10-10 को सार्वजनिक रूप से सामने आई। अभी तक सक्रिय शोषण के कोई विश्वसनीय संकेत नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका जल्द ही शोषण किया जा सकता है।
WordPress websites using the UserPlus plugin, particularly those with user registration enabled, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to lateral movement to others. Sites with legacy UserPlus configurations or those that haven't regularly updated their plugins are also at increased risk.
• wordpress / composer / npm:
grep -r 'form_actions' /var/www/html/wp-content/plugins/userplus/• wordpress / composer / npm:
grep -r 'userplus_update_user_profile' /var/www/html/wp-content/plugins/userplus/• wordpress / composer / npm:
wp plugin list --status=active | grep userplus• wordpress / composer / npm:
wp plugin update userplusdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.95% (76% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, UserPlus प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना सबसे महत्वपूर्ण कदम है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, WordPress फ़ायरवॉल या सुरक्षा प्लगइन का उपयोग करके 'role' पैरामीटर के साथ पंजीकरण अनुरोधों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, वेबसाइट के लिए सख्त पहुंच नियंत्रण लागू करना और नियमित रूप से सुरक्षा ऑडिट करना महत्वपूर्ण है। अपडेट करने के बाद, यह सुनिश्चित करने के लिए प्लगइन की कार्यक्षमता का परीक्षण करें कि यह ठीक से काम कर रहा है।
UserPlus प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें। यह अपडेट गैर-प्रमाणीकृत उपयोगकर्ताओं को पंजीकरण के दौरान उपयोगकर्ता भूमिकाएँ निर्दिष्ट करने की अनुमति देने वाले विशेषाधिकार वृद्धि भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-9518 एक विशेषाधिकार वृद्धि भेद्यता है जो UserPlus प्लगइन के संस्करण 2.0 और उससे पहले को प्रभावित करती है, जिससे हमलावर बिना प्रमाणीकरण के उपयोगकर्ता भूमिका निर्दिष्ट कर सकते हैं।
यदि आप UserPlus प्लगइन के संस्करण 2.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
UserPlus प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो फ़ायरवॉल या सुरक्षा प्लगइन का उपयोग करके 'role' पैरामीटर के साथ पंजीकरण अनुरोधों को ब्लॉक करें।
अभी तक सक्रिय शोषण के कोई विश्वसनीय संकेत नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए UserPlus प्लगइन वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।