प्लेटफ़ॉर्म
wordpress
घटक
opal-woo-custom-product-variation
में ठीक किया गया
1.1.4
ओपल वू कस्टम प्रोडक्ट वेरिएशन में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) पाई गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से संवेदनशील फ़ाइलों तक पहुँचने की अनुमति दे सकती है, जिससे डेटा का समझौता हो सकता है। यह भेद्यता संस्करण n/a से 1.1.3 तक के संस्करणों को प्रभावित करती है। संस्करण 1.1.4 में इस समस्या का समाधान किया गया है।
यह पथ पारगमन भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। हमलावर संवेदनशील जानकारी जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या स्रोत कोड तक पहुँच सकते हैं। यदि हमलावर को सर्वर पर लिखने की अनुमति मिलती है, तो वे दुर्भावनापूर्ण कोड भी अपलोड कर सकते हैं या मौजूदा फ़ाइलों को संशोधित कर सकते हैं, जिससे सिस्टम का पूर्ण नियंत्रण हो सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में खतरनाक हो सकती है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं।
CVE-2024-52444 को अभी तक CISA KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण की कोई पुष्टि नहीं है। यह भेद्यता 2024-11-20 को प्रकाशित की गई थी।
WordPress websites utilizing the Opal Woo Custom Product Variation plugin, particularly those hosting sensitive data or running older, unpatched versions (≤1.1.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Attempt path traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय ओपल वू कस्टम प्रोडक्ट वेरिएशन को संस्करण 1.1.4 या उसके बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना जोखिम को कम करने में मदद कर सकता है। सुनिश्चित करें कि सभी फ़ाइलें उचित रूप से सुरक्षित हैं और केवल अधिकृत उपयोगकर्ताओं द्वारा ही एक्सेस की जा सकती हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइलों को एक्सेस करने का प्रयास करके जो पहले असुरक्षित थीं।
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-52444 ओपल वू कस्टम प्रोडक्ट वेरिएशन में एक पथ पारगमन भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप ओपल वू कस्टम प्रोडक्ट वेरिएशन के संस्करण 1.1.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ओपल वू कस्टम प्रोडक्ट वेरिएशन को संस्करण 1.1.4 या उसके बाद के संस्करण में अपडेट करें।
सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
ओपल वू कस्टम प्रोडक्ट वेरिएशन वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।