प्लेटफ़ॉर्म
wordpress
घटक
ecwid-shopping-cart
में ठीक किया गया
7.0.8
Ecwid by Lightspeed Ecommerce Shopping Cart प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता पाई गई है, जो WordPress के लिए है। इस भेद्यता के कारण, प्रमाणित हमलावर, जिनके पास सब्सक्राइबर जैसे न्यूनतम अनुमतियाँ हैं, प्रोफाइल अपडेट के दौरान 'ecstoreadmin_access' पैरामीटर प्रदान करके स्टोर मैनेजर एक्सेस प्राप्त कर सकते हैं। यह भेद्यता Ecwid के संस्करण 0.0.0 से लेकर 7.0.7 तक के संस्करणों को प्रभावित करती है। Lightspeed ने संस्करण 7.0.8 में इस समस्या का समाधान किया है।
यह भेद्यता हमलावरों को न्यूनतम अनुमतियों वाले खातों से भी स्टोर मैनेजर एक्सेस प्राप्त करने की अनुमति देती है। स्टोर मैनेजर एक्सेस प्राप्त करने के बाद, हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, कॉन्फ़िगरेशन बदल सकते हैं, और यहां तक कि स्टोर के संचालन को भी नियंत्रित कर सकते हैं। यह भेद्यता विशेष रूप से छोटे और मध्यम आकार के व्यवसायों (SMBs) के लिए गंभीर है जो अपनी ऑनलाइन बिक्री के लिए Ecwid का उपयोग करते हैं, क्योंकि यह उनके ग्राहकों के डेटा और वित्तीय जानकारी को खतरे में डाल सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले WordPress साइट पर एक वैध खाता बनाना होगा, फिर प्रोफाइल अपडेट प्रक्रिया में 'ecstoreadmin_access' पैरामीटर को सम्मिलित करना होगा।
यह भेद्यता सार्वजनिक रूप से 2026-02-15 को घोषित की गई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की गंभीरता और विशेषाधिकार वृद्धि की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं की गई है।
Websites utilizing the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress, particularly those with a large number of subscriber-level users or those who have not implemented robust user role management practices, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially lead to lateral movement and exploitation of other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'ec_store_admin_access' /var/www/html/wp-content/plugins/ecwid/includes/user-profile.php• wordpress / composer / npm:
wp plugin list | grep ecwid• wordpress / composer / npm:
wp plugin update ecwiddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Ecwid शॉपिंग कार्ट प्लगइन को तुरंत संस्करण 7.0.8 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, WordPress फ़ायरवॉल या सुरक्षा प्लगइन का उपयोग करके 'ecstoreadminaccess' पैरामीटर को प्रोफाइल अपडेट अनुरोधों में सम्मिलित होने से रोका जा सकता है। इसके अतिरिक्त, सुनिश्चित करें कि केवल विश्वसनीय उपयोगकर्ताओं को ही WordPress साइट पर खाते दिए गए हैं और सभी खातों के लिए मजबूत पासवर्ड का उपयोग किया गया है। अपडेट के बाद, यह सत्यापित करें कि प्रोफाइल अपडेट प्रक्रिया में 'ecstoreadminaccess' पैरामीटर अब स्वीकार नहीं किया जा रहा है।
संस्करण 7.0.8 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-1750 Ecwid ईकॉमर्स शॉपिंग कार्ट प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है जो हमलावरों को न्यूनतम अनुमतियों के साथ स्टोर मैनेजर एक्सेस प्राप्त करने की अनुमति देती है।
यदि आप Ecwid ईकॉमर्स शॉपिंग कार्ट प्लगइन के संस्करण 7.0.7 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Ecwid ईकॉमर्स शॉपिंग कार्ट प्लगइन को तुरंत संस्करण 7.0.8 में अपडेट करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसका शोषण किया जा सकता है।
कृपया Lightspeed की सुरक्षा सलाहकारियों की जांच करें: [https://lightspeed.com/security/](https://lightspeed.com/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।