प्लेटफ़ॉर्म
wordpress
घटक
woocommerce-checkout-field-editor-pro
में ठीक किया गया
3.6.3
CVE-2024-35658 एक पाथ ट्रैवर्सल भेद्यता है जो WooCommerce के लिए Checkout Field Editor (Pro) में मौजूद है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने और हेरफेर करने की अनुमति दे सकती है। यह भेद्यता संस्करणों ≤3.6.2 को प्रभावित करती है और इसे संस्करण 3.6.3 में ठीक कर दिया गया है। तुरंत अपडेट करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने या संशोधित करने की अनुमति दे सकती है, जिससे संवेदनशील डेटा का खुलासा हो सकता है या सिस्टम की अखंडता से समझौता हो सकता है। हमलावर वेब रूट निर्देशिका के बाहर फ़ाइलों तक पहुँचने के लिए पथ ट्रैवर्सल तकनीकों का उपयोग कर सकते हैं। यदि हमलावर को सिस्टम पर लिखने की अनुमति मिलती है, तो वे दुर्भावनापूर्ण कोड अपलोड कर सकते हैं या मौजूदा फ़ाइलों को बदल सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि WooCommerce एक लोकप्रिय ई-कॉमर्स प्लेटफॉर्म है, और इस भेद्यता का शोषण करके बड़ी संख्या में वेबसाइटों को लक्षित किया जा सकता है।
CVE-2024-35658 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और WooCommerce की लोकप्रियता के कारण इसका शोषण होने की संभावना है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, और EPSS स्कोर अभी तक निर्धारित नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन अभी तक व्यापक रूप से रिपोर्ट नहीं किए गए हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Websites using WooCommerce with the Checkout Field Editor for WooCommerce (Pro) plugin, particularly those running older versions (≤3.6.2), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of WooCommerce installations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/*• generic web:
curl -I 'https://your-website.com/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/../../../../etc/passwd' # Check for directory traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.25% (48% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय Checkout Field Editor for WooCommerce (Pro) को संस्करण 3.6.3 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके भेद्य फ़ाइल पथों तक पहुँच को अवरुद्ध करने पर विचार करें। इसके अतिरिक्त, फ़ाइल अपलोड और एक्सेस नियंत्रण को सख्त करके और सभी फ़ाइल एक्सेस प्रयासों को लॉग करके सिस्टम को सुरक्षित किया जा सकता है। सुनिश्चित करें कि फ़ाइल अनुमतियाँ सही ढंग से कॉन्फ़िगर की गई हैं और केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँचने की अनुमति है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है और फ़ाइलों तक अनधिकृत पहुँच अब संभव नहीं है।
Actualice el plugin Checkout Field Editor for WooCommerce (Pro) a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Si no hay una versión disponible, considere deshabilitar el plugin temporalmente hasta que se publique una actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-35658 WooCommerce के लिए Checkout Field Editor (Pro) में एक पाथ ट्रैवर्सल भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है।
यदि आप Checkout Field Editor for WooCommerce (Pro) के संस्करण 3.6.2 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Checkout Field Editor for WooCommerce (Pro) को संस्करण 3.6.3 या उच्चतर में अपडेट करें।
CVE-2024-35658 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
आधिकारिक सलाहकार के लिए ThemeHigh वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।