मुफ्त स्कैन करें
CRITICALCVE-2025-48148CVSS 10

CVE-2025-48148: Arbitrary File Access in StoreKeeper for WooCommerce

प्लेटफ़ॉर्म

wordpress

घटक

storekeeper-for-woocommerce

में ठीक किया गया

14.4.5

NVD पर देखें
सहेजें

StoreKeeper for WooCommerce में एक गंभीर Arbitrary File Access भेद्यता की पहचान की गई है, जो हमलावरों को दुर्भावनापूर्ण फ़ाइलें अपलोड करने और सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह भेद्यता StoreKeeper for WooCommerce के संस्करण 0 से लेकर 14.4.4 तक के संस्करणों को प्रभावित करती है। संस्करण 14.4.5 में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों के लिए गंभीर जोखिम पैदा करती है। वे दुर्भावनापूर्ण फ़ाइलें अपलोड करके सिस्टम पर नियंत्रण हासिल कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, या सिस्टम को नुकसान पहुंचा सकते हैं। हमलावर वेब सर्वर फ़ाइलों को संशोधित कर सकते हैं, डेटाबेस तक पहुंच प्राप्त कर सकते हैं, या अन्य सिस्टम पर हमला करने के लिए सिस्टम का उपयोग कर सकते हैं। इस भेद्यता का शोषण करने से वेबसाइट की प्रतिष्ठा को नुकसान हो सकता है और ग्राहकों का विश्वास खो सकता है। यह भेद्यता अन्य भेद्यताओं के साथ मिलकर अधिक गंभीर हमलों का कारण बन सकती है, जैसे कि क्रॉस-साइट स्क्रिप्टिंग (XSS) या SQL इंजेक्शन।

शोषण संदर्भ

यह भेद्यता अभी तक सक्रिय रूप से शोषण नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। KEV पर इसकी स्थिति और EPSS स्कोर अभी तक निर्धारित नहीं किए गए हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.28% (51% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H10.0CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकstorekeeper-for-woocommerce
विक्रेताStoreKeeper B.V.
न्यूनतम संस्करण0
अधिकतम संस्करण14.4.4
में ठीक किया गया14.4.5

कमजोरी वर्गीकरण (CWE)

CWE-434

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

StoreKeeper for WooCommerce के संस्करण 14.4.5 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड फ़िल्टर को कड़ा करना और वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करना शामिल है जो दुर्भावनापूर्ण फ़ाइल अपलोड को ब्लॉक कर सकता है। सुनिश्चित करें कि StoreKeeper for WooCommerce के लिए सभी सुरक्षा पैच लागू किए गए हैं। फ़ाइल अपलोड की निगरानी करें और किसी भी असामान्य गतिविधि की जांच करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el plugin StoreKeeper for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de carga arbitraria de archivos.  Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio oficial de plugins de WordPress.  Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.

अक्सर पूछे जाने वाले सवाल

CVE-2025-48148 — Arbitrary File Access StoreKeeper for WooCommerce में क्या है?

CVE-2025-48148 StoreKeeper for WooCommerce में एक गंभीर भेद्यता है जो हमलावरों को दुर्भावनापूर्ण फ़ाइलें अपलोड करने और सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह संस्करण 0 से लेकर 14.4.4 तक के संस्करणों को प्रभावित करता है।

क्या मैं CVE-2025-48148 से StoreKeeper for WooCommerce में प्रभावित हूं?

यदि आप StoreKeeper for WooCommerce के संस्करण 0 से 14.4.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। संस्करण 14.4.5 में सुधार किया गया है।

मैं CVE-2025-48148 से StoreKeeper for WooCommerce को कैसे ठीक करूं?

StoreKeeper for WooCommerce के संस्करण 14.4.5 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो फ़ाइल अपलोड फ़िल्टर को कड़ा करें और WAF का उपयोग करें।

क्या CVE-2025-48148 सक्रिय रूप से शोषण किया जा रहा है?

यह भेद्यता अभी तक सक्रिय रूप से शोषण नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।

मैं CVE-2025-48148 के लिए आधिकारिक StoreKeeper advisory कहां पा सकता हूं?

आप StoreKeeper की वेबसाइट पर CVE-2025-48148 के लिए आधिकारिक advisory पा सकते हैं: [StoreKeeper advisory URL - replace with actual URL]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें
liveमुफ्त स्कैन

अपने WordPress प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

कोई भी मैनिफेस्ट (composer.lock, package-lock.json, WordPress प्लगइन सूची…) अपलोड करें या अपनी कंपोनेंट सूची पेस्ट करें। आपको तुरंत एक भेद्यता रिपोर्ट मिलेगी। फ़ाइल अपलोड करना सिर्फ शुरुआत है: एक अकाउंट के साथ आपको निरंतर निगरानी, Slack/ईमेल अलर्ट, मल्टी-प्रोजेक्ट और व्हाइट-लेबल रिपोर्ट मिलती है।

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringव्हाइट-लेबल रिपोर्ट

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...