प्लेटफ़ॉर्म
wordpress
घटक
woocommerce-openpos
में ठीक किया गया
6.4.5
CVE-2024-37932 एक Arbitrary File Access भेद्यता है जो Woocommerce OpenPos में पाई गई है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर अनधिकृत क्रियाएं की जा सकती हैं। यह भेद्यता Woocommerce OpenPos के संस्करणों ≤6.4.4 को प्रभावित करती है, और संस्करण 6.4.5 में इसका समाधान किया गया है।
यह Arbitrary File Access भेद्यता हमलावरों को सर्वर पर संग्रहीत किसी भी फ़ाइल को पढ़ने की अनुमति देती है, बशर्ते वे सही पथ का अनुमान लगा सकें। इसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड, डेटाबेस बैकअप और अन्य संवेदनशील जानकारी शामिल हो सकती है। एक सफल शोषण से डेटा का उल्लंघन, सिस्टम समझौता या यहां तक कि सर्वर पर दूरस्थ कोड निष्पादन हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह वेब एप्लिकेशन सर्वर के संदर्भ में चलती है, जिससे हमलावर को सिस्टम के अन्य हिस्सों तक पहुँच प्राप्त करने की अनुमति मिलती है। यह भेद्यता अन्य वेब एप्लिकेशन भेद्यताओं के समान है, जैसे कि पथ पारगमन भेद्यताएं, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती हैं।
CVE-2024-37932 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता CISA KEV में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, जो हमलावरों के लिए भेद्यता का शोषण करना आसान बनाते हैं। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो भेद्यता की सार्वजनिक घोषणा और संभावित जोखिम को इंगित करती हैं।
Websites utilizing Woocommerce OpenPos plugin, particularly those running older versions (≤6.4.4), are at risk. Shared hosting environments where file system permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-openpos/*• generic web:
curl -I https://your-website.com/wp-content/plugins/woocommerce-openpos/../../../../etc/passwd # Check for path traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.42% (62% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-37932 को कम करने के लिए, Woocommerce OpenPos को संस्करण 6.4.5 में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके उन अनुरोधों को ब्लॉक किया जा सकता है जो पथ पारगमन पैटर्न का उपयोग करते हैं। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करना और संवेदनशील फ़ाइलों को वेब रूट से बाहर रखना भेद्यता के प्रभाव को कम करने में मदद कर सकता है। यह सुनिश्चित करना भी महत्वपूर्ण है कि Woocommerce OpenPos का इंस्टॉलेशन सुरक्षित है और नवीनतम सुरक्षा पैच के साथ अद्यतित है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, उन फ़ाइलों तक पहुँचने का प्रयास करके जिन्हें पहले अनधिकृत रूप से एक्सेस किया जा सकता था।
Actualice el plugin Woocommerce OpenPos a una versión posterior a la 6.4.4. Esto solucionará la vulnerabilidad de eliminación arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-37932 Woocommerce OpenPos में एक Arbitrary File Access भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Woocommerce OpenPos के संस्करण ≤6.4.4 चला रहे हैं, तो आप प्रभावित हैं।
Woocommerce OpenPos को संस्करण 6.4.5 में अपडेट करें।
CVE-2024-37932 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन शोषण का जोखिम है।
आधिकारिक सलाहकार के लिए Woocommerce वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।