प्लेटफ़ॉर्म
wordpress
घटक
woocommerce-multiple-addresses
में ठीक किया गया
1.0.8
Woocommerce Multiple Addresses प्लगइन में विशेषाधिकार वृद्धि (Privilege Escalation) की भेद्यता पाई गई है। यह भेद्यता सभी संस्करणों में मौजूद है, जिनमें 1.0.7.1 शामिल है। हमलावर, जिनके पास सब्सक्राइबर-स्तर की पहुंच है, savemultipleshipping_addresses() फ़ंक्शन में अपर्याप्त प्रतिबंधों का फायदा उठाकर प्रशासक विशेषाधिकार प्राप्त कर सकते हैं। इस भेद्यता को 2025-05-07 को प्रकाशित किया गया है और इसे ठीक करने के लिए प्लगइन को अपडेट करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को प्रशासक के रूप में कार्य करने की अनुमति देती है, जिससे वे वेबसाइट की सामग्री को संशोधित कर सकते हैं, उपयोगकर्ताओं को प्रबंधित कर सकते हैं, सेटिंग्स बदल सकते हैं और अन्य विशेषाधिकार प्राप्त कार्यों को कर सकते हैं। यह वेबसाइट की सुरक्षा और अखंडता के लिए गंभीर खतरा है। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, जैसे कि ग्राहक जानकारी, ऑर्डर विवरण और वित्तीय डेटा। इसके अतिरिक्त, वे वेबसाइट को दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग कर सकते हैं, जैसे कि स्पैम भेजना या मैलवेयर फैलाना। इस भेद्यता का शोषण करने के लिए हमलावरों को केवल सब्सक्राइबर-स्तर की पहुंच की आवश्यकता होती है, जो इसे व्यापक रूप से लक्षित बनाता है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसकी CVSS स्कोर 8.8 (HIGH) है, जो मध्यम संभावना को इंगित करता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने इस CVE के लिए विशिष्ट तिथियां जारी नहीं की हैं।
Websites utilizing the Woocommerce Multiple Addresses plugin, particularly those with Subscriber-level users who have access to modify user meta data, are at risk. Shared WordPress hosting environments where users have limited control over plugin updates are also particularly vulnerable. Any WordPress site using versions 1.0.0 through 1.0.7.1 of the plugin is potentially exposed.
• wordpress / composer / npm:
grep -r 'save_multiple_shipping_addresses' /var/www/html/wp-content/plugins/woocommerce-multiple-addresses/• wordpress / composer / npm:
wp plugin list --status=active | grep woocommerce-multiple-addresses• wordpress / composer / npm:
wp plugin update woocommerce-multiple-addresses --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.26% (49% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Woocommerce Multiple Addresses प्लगइन को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो savemultipleshipping_addresses() फ़ंक्शन में अनधिकृत पहुंच को अवरुद्ध करता है। इसके अतिरिक्त, आप प्लगइन की सेटिंग्स में उपयोगकर्ता भूमिकाओं और अनुमतियों को सीमित कर सकते हैं ताकि सब्सक्राइबर-स्तर के उपयोगकर्ताओं को प्रशासक विशेषाधिकार प्राप्त करने से रोका जा सके। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी इस भेद्यता की पहचान करने और उसे कम करने में मदद कर सकते हैं। अपडेट के बाद, जांचें कि विशेषाधिकार वृद्धि का प्रयास विफल हो रहा है।
Actualice el plugin Woocommerce Multiple Addresses a la última versión disponible para mitigar la vulnerabilidad de escalada de privilegios. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-4335 Woocommerce Multiple Addresses प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है जो हमलावरों को सब्सक्राइबर-स्तर की पहुंच से प्रशासक विशेषाधिकार प्राप्त करने की अनुमति देती है।
यदि आप Woocommerce Multiple Addresses प्लगइन के संस्करण 1.0.0 से 1.0.7.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Woocommerce Multiple Addresses प्लगइन को नवीनतम संस्करण में अपडेट करें।
हालांकि सार्वजनिक रूप से उपलब्ध POC अभी तक ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
कृपया Woocommerce की आधिकारिक वेबसाइट पर जाएं या उनके सुरक्षा सलाहकारियों की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।