प्लेटफ़ॉर्म
wordpress
घटक
et-core-plugin
में ठीक किया गया
5.3.9
XStore Core में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) पाई गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता PHP लोकल फ़ाइल समावेश (Local File Inclusion) का कारण बनती है। XStore Core के संस्करणों ≤5.3.8 प्रभावित हैं। इस समस्या को 5.3.9 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर XStore Core इंस्टॉलेशन निर्देशिका के बाहर स्थित फ़ाइलों को शामिल करने के लिए पथ हेरफेर का उपयोग कर सकते हैं। इससे गोपनीय डेटा का खुलासा हो सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य संवेदनशील जानकारी। एक सफल शोषण के परिणामस्वरूप सर्वर पर कोड निष्पादन भी हो सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, जिससे एक वेबसाइट पर भेद्यता अन्य वेबसाइटों को भी प्रभावित कर सकती है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) मौजूद हैं। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल नहीं किया है। NVD ने 2024-06-04 को इस भेद्यता को प्रकाशित किया।
Websites using the XStore Core WordPress plugin, particularly those running older versions (≤5.3.8), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the patch. Sites with lax file upload permissions are especially susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xstore-core/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/xstore-core/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
1.66% (82% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, XStore Core को 5.3.9 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, XStore Core निर्देशिका में फ़ाइल अनुमतियों को सख्त करें ताकि केवल वेब सर्वर प्रक्रिया के पास ही आवश्यक फ़ाइलों तक पहुँच हो। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने के लिए नियम कॉन्फ़िगर करें। फ़ाइल समावेश कार्यों को मान्य और सैनिटाइज़ करने के लिए इनपुट सत्यापन लागू करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल अनुमतियों और WAF नियमों की समीक्षा करें।
Actualice el plugin XStore Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 5.3.8. Para actualizar, vaya al panel de administración de WordPress, luego a la sección de plugins y busque XStore Core. Si hay una actualización disponible, instálela inmediatamente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-33557 XStore Core में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है। यह PHP लोकल फ़ाइल समावेश का कारण बनती है।
यदि आप XStore Core के संस्करण ≤5.3.8 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
XStore Core को 5.3.9 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो फ़ाइल अनुमतियों को सख्त करें और WAF नियमों को कॉन्फ़िगर करें।
अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा मौजूद हैं।
कृपया XStore Core वेबसाइट पर जाएँ या उनके समर्थन से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।