एलिमेंटर प्लगइन में WooCommerce उत्पादों के लिए वर्डप्रेस विजेट्स <= 2.0.0 - लोकल फ़ाइल इन्क्लूजन भेद्यता
प्लेटफ़ॉर्म
wordpress
घटक
woo-products-widgets-for-elementor
में ठीक किया गया
2.0.1
Woo Products Widgets For Elementor में एक पथ पारगमन (Path Traversal) भेद्यता की पहचान की गई है, जो अनधिकृत उपयोगकर्ताओं को सिस्टम फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता PHP लोकल फ़ाइल समावेशन (LFI) का कारण बनती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता Woo Products Widgets For Elementor के संस्करणों ≤2.0.0 को प्रभावित करती है। 2.0.1 संस्करण में इस समस्या का समाधान किया गया है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिससे संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य गोपनीय जानकारी का खुलासा हो सकता है। हमलावर इस भेद्यता का उपयोग सिस्टम पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए भी कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर आसानी से सिस्टम फ़ाइलों तक पहुँच सकते हैं, जिससे व्यापक क्षति हो सकती है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह वर्डप्रेस वेबसाइटों को प्रभावित करती है, जो अक्सर संवेदनशील डेटा संग्रहीत करती हैं।
शोषण संदर्भ
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका सक्रिय रूप से शोषण किया जा सकता है। KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का शोषण करने की प्रक्रिया को सरल बनाते हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites utilizing the Woo Products Widgets For Elementor plugin, particularly those running versions prior to 2.0.1, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/woo-products-widgets-for-elementor/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/woo-products-widgets-for-elementor/../../../../etc/passwd' # Attempt to access sensitive filesहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
1.18% (79% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 3Kआला
- प्लगइन रेटिंग
- 5.0
- WordPress आवश्यक
- 4.7+
- संगत संस्करण तक
- 6.6.5
- PHP आवश्यक
- 7.4+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
इस भेद्यता को कम करने के लिए, तुरंत Woo Products Widgets For Elementor को संस्करण 2.0.1 में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम पर एक्सेस प्रतिबंध लागू करें ताकि हमलावर संवेदनशील फ़ाइलों तक पहुँच न सकें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। सुनिश्चित करें कि वर्डप्रेस वेबसाइट पर फ़ाइल अनुमतियाँ सही ढंग से कॉन्फ़िगर की गई हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल सिस्टम एक्सेस की जाँच करें।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin 'Woo Products Widgets For Elementor' a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.0.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Woo Products Widgets For Elementor' para actualizarlo.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2024-43271 — पथ पारगमन (Path Traversal) भेद्यता Woo Products Widgets For Elementor में क्या है?
CVE-2024-43271 एक पथ पारगमन भेद्यता है जो Woo Products Widgets For Elementor के संस्करणों ≤2.0.0 को प्रभावित करती है, जिससे हमलावरों को PHP लोकल फ़ाइल समावेशन (LFI) के माध्यम से सिस्टम फ़ाइलों तक पहुँचने की अनुमति मिलती है।
क्या मैं CVE-2024-43271 में Woo Products Widgets For Elementor से प्रभावित हूँ?
यदि आप Woo Products Widgets For Elementor के संस्करण 2.0.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
मैं CVE-2024-43271 में Woo Products Widgets For Elementor को कैसे ठीक करूँ?
इस भेद्यता को ठीक करने के लिए, Woo Products Widgets For Elementor को संस्करण 2.0.1 में अपग्रेड करें।
क्या CVE-2024-43271 सक्रिय रूप से शोषण किया जा रहा है?
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका सक्रिय रूप से शोषण किया जा सकता है।
मैं CVE-2024-43271 के लिए आधिकारिक Woo Products Widgets For Elementor सलाहकार कहाँ पा सकता हूँ?
कृपया आधिकारिक Woo Products Widgets For Elementor सलाहकार के लिए उनके वेबसाइट या संबंधित सुरक्षा संसाधनों की जाँच करें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।