प्लेटफ़ॉर्म
wordpress
घटक
woo-products-widgets-for-elementor
में ठीक किया गया
2.0.1
Woo Products Widgets For Elementor में एक पथ पारगमन (Path Traversal) भेद्यता की पहचान की गई है, जो अनधिकृत उपयोगकर्ताओं को सिस्टम फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता PHP लोकल फ़ाइल समावेशन (LFI) का कारण बनती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता Woo Products Widgets For Elementor के संस्करणों ≤2.0.0 को प्रभावित करती है। 2.0.1 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिससे संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य गोपनीय जानकारी का खुलासा हो सकता है। हमलावर इस भेद्यता का उपयोग सिस्टम पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए भी कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर आसानी से सिस्टम फ़ाइलों तक पहुँच सकते हैं, जिससे व्यापक क्षति हो सकती है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह वर्डप्रेस वेबसाइटों को प्रभावित करती है, जो अक्सर संवेदनशील डेटा संग्रहीत करती हैं।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका सक्रिय रूप से शोषण किया जा सकता है। KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का शोषण करने की प्रक्रिया को सरल बनाते हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
WordPress websites utilizing the Woo Products Widgets For Elementor plugin, particularly those running versions prior to 2.0.1, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/woo-products-widgets-for-elementor/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/woo-products-widgets-for-elementor/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
एक्सप्लॉइट स्थिति
EPSS
1.18% (79% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तुरंत Woo Products Widgets For Elementor को संस्करण 2.0.1 में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम पर एक्सेस प्रतिबंध लागू करें ताकि हमलावर संवेदनशील फ़ाइलों तक पहुँच न सकें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। सुनिश्चित करें कि वर्डप्रेस वेबसाइट पर फ़ाइल अनुमतियाँ सही ढंग से कॉन्फ़िगर की गई हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल सिस्टम एक्सेस की जाँच करें।
Actualice el plugin 'Woo Products Widgets For Elementor' a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.0.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Woo Products Widgets For Elementor' para actualizarlo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-43271 एक पथ पारगमन भेद्यता है जो Woo Products Widgets For Elementor के संस्करणों ≤2.0.0 को प्रभावित करती है, जिससे हमलावरों को PHP लोकल फ़ाइल समावेशन (LFI) के माध्यम से सिस्टम फ़ाइलों तक पहुँचने की अनुमति मिलती है।
यदि आप Woo Products Widgets For Elementor के संस्करण 2.0.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Woo Products Widgets For Elementor को संस्करण 2.0.1 में अपग्रेड करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका सक्रिय रूप से शोषण किया जा सकता है।
कृपया आधिकारिक Woo Products Widgets For Elementor सलाहकार के लिए उनके वेबसाइट या संबंधित सुरक्षा संसाधनों की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।