प्लेटफ़ॉर्म
wordpress
घटक
wc-purchase-orders
में ठीक किया गया
1.0.3
WooCommerce Purchase Orders प्लगइन में एक गंभीर भेद्यता पाई गई है, जो अनधिकृत फ़ाइल एक्सेस की अनुमति देती है। यह भेद्यता, संस्करण 1.0.0 से 1.0.2 तक के सभी संस्करणों में मौजूद है, और प्रमाणीकृत हमलावरों को सर्वर पर स्थित फ़ाइलों को हटाने की क्षमता प्रदान करती है। इस भेद्यता का फायदा उठाकर रिमोट कोड निष्पादन (RCE) भी किया जा सकता है, जिससे सिस्टम की सुरक्षा खतरे में पड़ सकती है। तुरंत प्लगइन को अपडेट करने या अस्थायी समाधान लागू करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को WooCommerce Purchase Orders प्लगइन का उपयोग करने वाली वेबसाइटों पर अनधिकृत फ़ाइल एक्सेस करने की अनुमति देती है। हमलावर, जो सब्सक्राइबर स्तर या उससे ऊपर के एक्सेस के साथ प्रमाणित हैं, delete_file() फ़ंक्शन में अपर्याप्त फ़ाइल पथ सत्यापन का फायदा उठाकर मनमाने ढंग से फ़ाइलों को हटा सकते हैं। सबसे खतरनाक परिदृश्य में, हमलावर wp-config.php जैसी महत्वपूर्ण फ़ाइलों को हटा सकते हैं, जिससे वेबसाइट पूरी तरह से निष्क्रिय हो सकती है या हमलावर को सर्वर पर पूर्ण नियंत्रण मिल सकता है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, वेबसाइट को दूषित कर सकते हैं, या सर्वर पर मनमाना कोड निष्पादित कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह अपेक्षाकृत सरल है और इसे सब्सक्राइबर स्तर के एक्सेस वाले हमलावर द्वारा भी शोषण किया जा सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए भविष्य में ऐसा होने की संभावना है। हमलावरों द्वारा इस भेद्यता का सक्रिय रूप से शोषण किए जाने की संभावना मध्यम है, खासकर उन वेबसाइटों पर जिनमें कमजोर सुरक्षा उपाय हैं। NVD और CISA ने 2025-08-12 को इस भेद्यता को प्रकाशित किया।
WordPress websites utilizing the Purchase Orders for WooCommerce plugin, particularly those running versions 1.0.0 through 1.0.2, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "delete_file\(" /var/www/html/wp-content/plugins/purchase-orders-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/purchase-orders-for-woocommerce/delete.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'purchase-orders-for-woocommerce'disclosure
एक्सप्लॉइट स्थिति
EPSS
1.42% (80% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-5391 को कम करने के लिए, सबसे प्रभावी उपाय प्लगइन को नवीनतम संस्करण में अपडेट करना है। यदि अपडेट करना तत्काल संभव नहीं है, तो अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए delete_file() फ़ंक्शन में अतिरिक्त सुरक्षा जांच लागू की जा सकती है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल आवश्यक उपयोगकर्ताओं को ही फ़ाइलों को हटाने की अनुमति देकर जोखिम को कम किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल एक्सेस प्रयासों को भी ब्लॉक किया जा सकता है। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक ठीक किया गया है, फ़ाइल एक्सेस प्रयासों का परीक्षण करें।
Actualice el plugin Purchase Orders for WooCommerce a la última versión disponible. Esta actualización aborda la vulnerabilidad de eliminación arbitraria de archivos al mejorar la validación de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor puedan eliminar archivos sensibles en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-5391 WooCommerce Purchase Orders प्लगइन में एक भेद्यता है जो हमलावरों को सर्वर पर स्थित फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है।
यदि आप WooCommerce Purchase Orders प्लगइन के संस्करण 1.0.0–1.0.2 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-5391 को ठीक करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करें।
CVE-2025-5391 का सक्रिय रूप से शोषण किए जाने की संभावना मध्यम है, खासकर उन वेबसाइटों पर जिनमें कमजोर सुरक्षा उपाय हैं।
आधिकारिक WooCommerce Purchase Orders सलाहकार के लिए, कृपया WooCommerce वेबसाइट पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।