WordPress WooCommerce csv आयात निर्यात प्लगइन <= 2.0.6 - मनमाना फ़ाइल विलोपन भेद्यता

यह Path Traversal भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य गोपनीय जानकारी तक पहुँच सकते हैं। वे सर्वर पर कोड भी निष्पादित कर सकते हैं या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। इस भेद्यता का उपयोग करके, हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह WooCommerce वेबसाइटों को प्रभावित करती है, जो अक्सर संवेदनशील ग्राहक डेटा संग्रहीत करती हैं।

WordPress websites using the WooCommerce CSV Import Export plugin, particularly those running older versions (0.0.0–2.0.6), are at risk. Shared hosting environments where multiple WordPress installations share the same server are also at increased risk, as a compromise of one site could potentially expose files on other sites.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/extendons-eo-wooimport-export/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/extendons-eo-wooimport-export/../../../../etc/passwd' # Check for file access

1. 2025-08-28Disclosure

   disclosure

1. आरक्षित2025-07-16
2. प्रकाशित2025-08-28
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-54029 को कम करने के लिए, WooCommerce csv import export प्लगइन को तुरंत संस्करण 2.0.7 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि हमलावर मनमाने ढंग से फ़ाइलों तक पहुँच न सकें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके Path Traversal हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, नियमित रूप से वेबसाइट और प्लगइन को स्कैन करें ताकि किसी भी भेद्यता का पता लगाया जा सके।