प्लेटफ़ॉर्म
wordpress
घटक
pdf-generator-addon-for-elementor-page-builder
में ठीक किया गया
1.7.6
PDF Generator Addon for Elementor Page Builder प्लगइन में पथ पारगमन (Path Traversal) भेद्यता पाई गई है। इस भेद्यता के माध्यम से, अनधिकृत हमलावर सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ सकते हैं, जिससे संवेदनशील डेटा उजागर हो सकता है। यह भेद्यता Elementor Page Builder के संस्करण 1.7.5 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को सर्वर फ़ाइल सिस्टम तक अनधिकृत पहुंच प्रदान करती है। वे संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप या अन्य गोपनीय डेटा तक पहुंच प्राप्त कर सकते हैं। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता या अन्य गंभीर परिणाम हो सकते हैं। हमलावर वेब सर्वर के रूट निर्देशिका में स्थित फ़ाइलों तक पहुंच सकते हैं, जिससे वे संवेदनशील जानकारी प्राप्त कर सकते हैं या दुर्भावनापूर्ण कोड अपलोड कर सकते हैं। इस भेद्यता का उपयोग सर्वर पर अन्य कमजोरियों का फायदा उठाने के लिए भी किया जा सकता है, जिससे हमलावर के लिए सिस्टम पर नियंत्रण हासिल करना आसान हो जाता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने इस भेद्यता को अभी तक KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। भेद्यता 2024-11-16 को प्रकाशित की गई थी। सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की सिफारिश की जाती है।
WordPress websites utilizing the PDF Generator Addon for Elementor Page Builder plugin, particularly those running versions prior to 1.7.5, are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. Websites with sensitive data stored on the server, such as database credentials or API keys, are at heightened risk of compromise.
• wordpress / composer / npm:
grep -r 'rtw_pgaepb_dwnld_pdf()' /var/www/html/wp-content/plugins/pdf-generator-for-elementor/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-generator-for-elementor/rtw_pgaepb_dwnld_pdf?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=active | grep 'pdf-generator-for-elementor'disclosure
एक्सप्लॉइट स्थिति
EPSS
93.62% (100% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय PDF Generator Addon for Elementor Page Builder प्लगइन को नवीनतम संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अनुमतियों को सख्त करना और सर्वर पर संवेदनशील फ़ाइलों तक पहुंच को सीमित करना शामिल है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को भी ब्लॉक किया जा सकता है। इसके अतिरिक्त, सर्वर लॉग की नियमित रूप से निगरानी करना और किसी भी संदिग्ध गतिविधि के लिए अलर्ट सेट करना महत्वपूर्ण है। फ़ाइल अनुमतियों को सख्त करने के लिए, सुनिश्चित करें कि केवल वेब सर्वर प्रक्रिया के पास आवश्यक फ़ाइलों तक पहुंच है।
Actualice el plugin PDF Generator Addon for Elementor Page Builder a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal que permite la descarga de archivos arbitrarios sin autenticación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-9935 एक पथ पारगमन भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। यह PDF Generator Addon for Elementor Page Builder प्लगइन के संस्करण 1.7.5 और उससे पहले के संस्करणों को प्रभावित करता है।
यदि आप PDF Generator Addon for Elementor Page Builder के संस्करण 1.7.5 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
PDF Generator Addon for Elementor Page Builder प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो फ़ाइल अनुमतियों को सख्त करें और WAF का उपयोग करें।
सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की सिफारिश की जाती है।
कृपया Elementor वेबसाइट पर आधिकारिक सलाह देखें: [https://elementor.com/security/](https://elementor.com/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।