प्लेटफ़ॉर्म
wordpress
घटक
oxygen-mydata
में ठीक किया गया
1.0.65
ऑक्सीजन मायडाटा फॉर वूकमर्स में एक पथ पारगमन भेद्यता की पहचान की गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुंचने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता ऑक्सीजन मायडाटा फॉर वूकमर्स के संस्करण 0.0.0 से 1.0.64 तक के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, संस्करण 1.0.64 में अपग्रेड करने की सिफारिश की जाती है।
यह पथ पारगमन भेद्यता हमलावरों को सर्वर पर संग्रहीत किसी भी फ़ाइल तक पहुंचने की अनुमति देती है, बशर्ते वे उचित अनुरोध बना सकें। इसमें कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस बैकअप और अन्य संवेदनशील जानकारी शामिल हो सकती है। एक सफल शोषण से डेटा का खुलासा, सिस्टम की छेड़छाड़ या यहां तक कि सर्वर पर नियंत्रण भी हो सकता है। चूंकि यह भेद्यता वूकमर्स प्लगइन में मौजूद है, इसलिए इसका उपयोग अन्य वूकमर्स साइटों पर आगे के हमले शुरू करने के लिए किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता लॉग4शेल जैसे अन्य पथ पारगमन भेद्यताओं के समान शोषण पैटर्न का पालन कर सकती है, जहां हमलावर ../ अनुक्रम का उपयोग करके निर्देशिकाओं को पार कर सकते हैं।
यह CVE अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन पथ पारगमन भेद्यताओं की सामान्य प्रकृति के कारण, शोषण का विकास संभव है। NVD और CISA ने 2025-04-11 को इस भेद्यता को प्रकाशित किया। सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावित रूप से लक्षित हमलों के लिए एक लक्ष्य हो सकता है।
Websites utilizing Oxygen MyData for WooCommerce, particularly those running older, unpatched versions (0.0.0–1.0.64), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin updates and server configurations. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/oxygen-mydata-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oxygen-mydata-for-woocommerce/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep oxygen-mydatadisclosure
एक्सप्लॉइट स्थिति
EPSS
0.38% (59% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय ऑक्सीजन मायडाटा फॉर वूकमर्स को संस्करण 1.0.64 में अपग्रेड करना है। यदि अपग्रेड करने से कोई समस्या आती है, तो अस्थायी रूप से प्लगइन को निष्क्रिय करने पर विचार करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को कम किया जा सकता है, जो विशिष्ट पैटर्न की तलाश में आने वाले अनुरोधों को अवरुद्ध कर सकता है। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करना और संवेदनशील फ़ाइलों तक पहुंच को सीमित करना जोखिम को कम करने में मदद कर सकता है। सुनिश्चित करें कि वूकमर्स और सभी संबंधित प्लगइन्स नवीनतम संस्करणों में अपडेट किए गए हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता अब मौजूद नहीं है, किसी अनधिकृत फ़ाइल तक पहुंचने का प्रयास करके।
Actualice el plugin Oxygen MyData for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo la eliminación arbitraria de archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-32631 ऑक्सीजन मायडाटा फॉर वूकमर्स में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुंचने की अनुमति देती है। यह संस्करण 0.0.0–1.0.64 को प्रभावित करता है।
यदि आप ऑक्सीजन मायडाटा फॉर वूकमर्स के संस्करण 0.0.0–1.0.64 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ऑक्सीजन मायडाटा फॉर वूकमर्स को संस्करण 1.0.64 में अपग्रेड करें।
सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावित रूप से लक्षित हमलों के लिए एक लक्ष्य हो सकता है।
ऑक्सीजन मायडाटा के लिए आधिकारिक सलाहकार उनकी वेबसाइट पर उपलब्ध होना चाहिए, लेकिन अभी तक प्रकाशित नहीं हुआ है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।