प्लेटफ़ॉर्म
wordpress
घटक
xforwoocommerce
में ठीक किया गया
2.0.3
CVE-2024-33628 XforWooCommerce प्लगइन में एक गंभीर पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुंचने और संभावित रूप से सिस्टम पर नियंत्रण हासिल करने की अनुमति देती है। यह भेद्यता XforWooCommerce के संस्करणों 2.0.2 और उससे पहले को प्रभावित करती है। इस समस्या का समाधान 2.0.3 संस्करण में जारी किया गया है।
यह पथ पारगमन भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। एक हमलावर इस भेद्यता का उपयोग संवेदनशील जानकारी, जैसे कॉन्फ़िगरेशन फ़ाइलें या डेटाबेस क्रेडेंशियल तक पहुंचने के लिए कर सकता है। इसके अतिरिक्त, एक हमलावर इस भेद्यता का उपयोग PHP लोकल फ़ाइल समावेशन (LFI) का शोषण करने और सर्वर पर मनमाना कोड निष्पादित करने के लिए कर सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण हो सकता है। इस भेद्यता का उपयोग करके, हमलावर डेटा चोरी कर सकता है, सिस्टम को दूषित कर सकता है या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है।
CVE-2024-33628 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, उनका जल्द ही विकास होने की संभावना है।
WordPress websites utilizing the XforWooCommerce plugin, particularly those running versions prior to 2.0.3, are at risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are websites with misconfigured file permissions that could exacerbate the impact of a successful exploit.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xforwoocommerce/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/xforwoocommerce/path/to/file../sensitive_file.phpdisclosure
एक्सप्लॉइट स्थिति
EPSS
1.08% (78% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-33628 के प्रभाव को कम करने के लिए, XforWooCommerce प्लगइन को तुरंत संस्करण 2.0.3 में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करके और अनावश्यक फ़ाइलों को हटाकर सर्वर की सुरक्षा को मजबूत किया जा सकता है। सुनिश्चित करें कि सभी फ़ाइलें उचित रूप से सुरक्षित हैं और केवल अधिकृत उपयोगकर्ताओं द्वारा ही एक्सेस की जा सकती हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है और कोई अनधिकृत फ़ाइल एक्सेस नहीं हो रहा है।
Actualice el plugin XforWooCommerce a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-33628 XforWooCommerce प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुंचने की अनुमति देती है।
यदि आप XforWooCommerce के संस्करण 2.0.2 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
XforWooCommerce प्लगइन को तुरंत संस्करण 2.0.3 में अपग्रेड करें।
CVE-2024-33628 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
XforWooCommerce सलाहकार यहां पाया जा सकता है: [XforWooCommerce advisory link - replace with actual link]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।