WordPress Ovic Importer प्लगइन <= 1.6.3 - मनमाना फ़ाइल डाउनलोड भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। हमलावर इस भेद्यता का उपयोग सर्वर पर अन्य कमजोरियों का फायदा उठाने के लिए भी कर सकते हैं, जिससे संभावित रूप से व्यापक समझौता हो सकता है। पथ पारगमन भेद्यताएँ अक्सर वेब सर्वर पर फ़ाइलों को उजागर करने के लिए उपयोग की जाती हैं जो सार्वजनिक रूप से सुलभ नहीं होनी चाहिए।

WordPress websites utilizing the Ovic Importer plugin, particularly those running older versions (≤1.6.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with misconfigured file permissions that allow the web server user to access sensitive files are at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/ovic-importer/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/ovic-importer/../../../../etc/passwd' # Check for file access

1. 2024-06-10Disclosure

   disclosure

1. आरक्षित2024-05-17
2. प्रकाशित2024-06-10
3. संशोधित2024-08-02
4. EPSS अद्यतन2026-04-02

Ovic Importer को संस्करण 1.6.4 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियमों को कॉन्फ़िगर करें। फ़ाइल एक्सेस को प्रतिबंधित करने के लिए सर्वर-साइड फ़ाइल सिस्टम अनुमतियों को कड़ा करें। सुनिश्चित करें कि Ovic Importer के लिए उपयोग किए जा रहे वेब सर्वर पर फ़ाइल सिस्टम अनुमतियाँ ठीक से कॉन्फ़िगर की गई हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल एक्सेस के लिए अनधिकृत अनुरोधों का प्रयास करके।