प्लेटफ़ॉर्म
wordpress
घटक
woo-permalink-manager
में ठीक किया गया
2.3.11
Premmerce Permalink Manager for WooCommerce में एक पथ पारगमन (Path Traversal) भेद्यता की पहचान की गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता PHP लोकल फ़ाइल समावेशन (LFI) का कारण बनती है। Premmerce Permalink Manager for WooCommerce के संस्करण 2.3.10 और उससे पहले के संस्करण प्रभावित हैं। इस समस्या का समाधान 2.3.11 संस्करण में जारी किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सर्वर पर कोड निष्पादित किया जा सकता है। हमलावर वेब रूट निर्देशिका के बाहर स्थित फ़ाइलों तक पहुँच सकते हैं, जिससे सिस्टम कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल और अन्य संवेदनशील डेटा उजागर हो सकते हैं। यदि हमलावर सर्वर पर कोड निष्पादित करने में सक्षम है, तो वे सिस्टम को पूरी तरह से नियंत्रित कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह WordPress वेबसाइटों को प्रभावित करती है, जो अक्सर संवेदनशील जानकारी संग्रहीत करती हैं।
यह CVE अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण की कोई रिपोर्ट नहीं है। NVD और CISA ने इस भेद्यता के बारे में जानकारी 2024-05-17 को प्रकाशित की।
Websites using the Premmerce Permalink Manager for WooCommerce plugin, particularly those running older versions (≤2.3.10), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over server file permissions. Sites with misconfigured file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/wp-admin/admin.php?page=premmerce-permalink-manager&file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
एक्सप्लॉइट स्थिति
EPSS
48.09% (98% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, Premmerce Permalink Manager for WooCommerce को संस्करण 2.3.11 या उच्चतर में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करें। WAF नियमों को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर करें जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करें ताकि वेब सर्वर प्रक्रिया केवल आवश्यक फ़ाइलों तक ही पहुँच सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक फ़ाइल समावेशन परीक्षण करें।
Actualice el plugin Premmerce Permalink Manager for WooCommerce a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-27971 Premmerce Permalink Manager for WooCommerce में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेशन (LFI) का शोषण करने की अनुमति देती है।
यदि आप Premmerce Permalink Manager for WooCommerce के संस्करण 2.3.10 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Premmerce Permalink Manager for WooCommerce को संस्करण 2.3.11 या उच्चतर में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
आधिकारिक सलाहकार के लिए Premmerce वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।