प्लेटफ़ॉर्म
wordpress
घटक
import-products-to-wc
में ठीक किया गया
1.2.8
Amazon Products to WooCommerce प्लगइन में एक गंभीर भेद्यता पाई गई है, जो सर्वर-साइड रिक्वेस्ट फोर्जिंग (SSRF) का कारण बनती है। यह भेद्यता हमलावरों को वेब एप्लिकेशन से मनमाने स्थानों पर वेब अनुरोध करने की अनुमति देती है, जिससे आंतरिक सेवाओं से जानकारी प्राप्त करना संभव हो जाता है। यह भेद्यता WordPress के संस्करण 1.0.0 से 1.2.7 तक के संस्करणों को प्रभावित करती है। इस समस्या को 1.2.8 संस्करण में ठीक कर दिया गया है।
SSRF भेद्यता के माध्यम से, एक हमलावर आंतरिक नेटवर्क संसाधनों तक पहुंच प्राप्त कर सकता है जो आम तौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। वे संवेदनशील डेटा को उजागर कर सकते हैं, आंतरिक सेवाओं को संशोधित कर सकते हैं, या यहां तक कि आंतरिक प्रणालियों पर नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का उपयोग आंतरिक स्कैनिंग और मैपिंग के लिए भी किया जा सकता है, जिससे हमलावर कमजोरियों की पहचान कर सकते हैं और उनका फायदा उठा सकते हैं। चूंकि यह भेद्यता प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, इसलिए इसका प्रभाव काफी व्यापक हो सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसके लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी उच्च CVSS स्कोर को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। सक्रिय शोषण की पुष्टि अभी तक नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, शोषण की संभावना बनी हुई है।
WordPress websites utilizing the Amazon Products to WooCommerce plugin, particularly those with internal services accessible via HTTP or HTTPS, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and configurations. Legacy WordPress installations running older versions of PHP or with outdated security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'wcta2w_get_urls()' /var/www/html/wp-content/plugins/amazon-products-to-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/amazon-products-to-woocommerce/ | grep Server• wordpress / composer / npm:
wp plugin list | grep 'amazon-products-to-woocommerce'• wordpress / composer / npm:
wp plugin status | grep 'amazon-products-to-woocommerce'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (40% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय Amazon Products to WooCommerce प्लगइन को संस्करण 1.2.8 में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को कम किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो आंतरिक नेटवर्क संसाधनों को लक्षित करते हैं। इसके अतिरिक्त, प्लगइन के कॉन्फ़िगरेशन को सुरक्षित किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि यह केवल विश्वसनीय स्रोतों से डेटा प्राप्त करता है।
सर्वर-साइड रिक्वेस्ट फोर्जरी (Server-Side Request Forgery) के भेद्यता को कम करने के लिए Amazon Products to WooCommerce प्लगइन को 1.2.8 या उच्चतर संस्करण में अपडेट करें। यह अपडेट वेब अनुरोधों के प्रबंधन के तरीके को ठीक करता है, जिससे अनधिकृत हमलावरों को दुर्भावनापूर्ण अनुरोध करने से रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-5817 Amazon Products to WooCommerce प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जिंग (SSRF) भेद्यता है जो हमलावरों को आंतरिक सेवाओं से जानकारी प्राप्त करने की अनुमति देती है।
यदि आप Amazon Products to WooCommerce प्लगइन के संस्करण 1.0.0 से 1.2.7 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Amazon Products to WooCommerce प्लगइन को संस्करण 1.2.8 में अपडेट करें।
सक्रिय शोषण की पुष्टि अभी तक नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, शोषण की संभावना बनी हुई है।
कृपया Amazon Products to WooCommerce प्लगइन के डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।