प्लेटफ़ॉर्म
wordpress
घटक
mstore-api
में ठीक किया गया
4.17.3
MStore API – Create Native Android & iOS Apps On The Cloud वर्डप्रेस प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता पाई गई है। यह भेद्यता प्लगइन के संस्करण 0.0.0 से 4.17.4 तक मौजूद है। हमलावर भूमिका प्रतिबंधों की कमी का फायदा उठाकर 'wcfm_vendor' भूमिका के साथ पंजीकरण कर सकते हैं, जिससे उन्हें अनधिकृत पहुंच मिल सकती है। संस्करण 4.17.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को वर्डप्रेस साइट पर अनधिकृत विशेषाधिकार प्राप्त करने की अनुमति देती है। 'wcfm_vendor' भूमिका के साथ पंजीकरण करके, हमलावर WCFM Marketplace – Multivendor Marketplace for WooCommerce प्लगइन की कार्यक्षमताओं का उपयोग कर सकते हैं, जैसे कि उत्पादों को सूचीबद्ध करना, ऑर्डर प्रबंधित करना और अन्य विक्रेता कार्यों को करना। इससे डेटा चोरी, साइट की छेड़छाड़ या अन्य दुर्भावनापूर्ण गतिविधियां हो सकती हैं। इस भेद्यता का प्रभाव WCFM Marketplace प्लगइन पर निर्भर करता है, इसलिए यदि यह प्लगइन स्थापित और सक्रिय नहीं है, तो भेद्यता मौजूद नहीं है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसकी मध्यम गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण करने के लिए PoC जल्द ही उपलब्ध हो सकते हैं। 2025-05-02 को CVE प्रकाशित किया गया था।
WordPress sites utilizing the MStore API plugin in conjunction with the WCFM Marketplace – Multivendor Marketplace for WooCommerce plugin are at risk. Specifically, sites with permissive role assignment configurations or those running older, unpatched versions of the MStore API plugin are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'wcfm_vendor' /var/www/html/wp-content/plugins/
wp-cli plugin list | grep mstore-api• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/mstore-api/ | grep 'X-Powered-By'• wordpress / composer / npm:
wp plugin status mstore-apidisclosure
एक्सप्लॉइट स्थिति
EPSS
0.49% (65% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तुरंत MStore API प्लगइन को संस्करण 4.17.3 या उच्चतर में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WCFM Marketplace प्लगइन को निष्क्रिय करने पर विचार करें। इसके अतिरिक्त, वर्डप्रेस साइट की सुरक्षा को मजबूत करने के लिए मजबूत पासवर्ड का उपयोग करें, नियमित रूप से सुरक्षा ऑडिट करें और सभी प्लगइन्स और थीम को अपडेट रखें। फ़ायरवॉल नियमों को कॉन्फ़िगर करके अनधिकृत पंजीकरण प्रयासों को ब्लॉक किया जा सकता है।
Actualice el plugin MStore API a la versión 4.17.3 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la falta de restricciones de roles al registrar nuevos usuarios, previniendo que atacantes no autenticados obtengan privilegios de vendedor de tienda.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-3438 MStore API प्लगइन में भूमिका प्रतिबंधों की कमी के कारण विशेषाधिकार वृद्धि भेद्यता है, जिससे हमलावर 'wcfm_vendor' भूमिका के साथ पंजीकरण कर सकते हैं।
यदि आप MStore API प्लगइन के संस्करण 0.0.0 से 4.17.4 का उपयोग कर रहे हैं और आपके पास WCFM Marketplace प्लगइन स्थापित है, तो आप प्रभावित हैं।
MStore API प्लगइन को संस्करण 4.17.3 या उच्चतर में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WCFM Marketplace प्लगइन को निष्क्रिय करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए MStore API प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस सुरक्षा डेटाबेस की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।