Woocommerce CSV Importer 3.3.6 contains a path traversal vulnerability that allows any registered user to delete arbitrary files by submitting unescaped filenames through the delete_export_file AJAX action. Attackers can craft POST requests with directory traversal sequences in the filename parameter to delete sensitive files like wp-config.php outside the intended export directory.
WooCommerce CSV Importer 3.3.6 contains a path traversal vulnerability allowing registered users to delete arbitrary files via unescaped filenames in the delete_export_file AJAX action. Attackers can craft malicious POST requests with directory traversal sequences to delete critical files like wp-config.php outside the intended directory.
ثغرة اجتياز المسار في WooCommerce CSV Importer 3.3.6 تسمح لأي مستخدم مسجل بحذف ملفات عشوائية من خلال تقديم أسماء ملفات غير معالجة عبر إجراء AJAX delete_export_file. يمكن للمهاجمين استخدام تسلسلات اجتياز الدليل مثل ../ لحذف ملفات حساسة خارج دليل التصدير المقصود، بما في ذلك ملفات التكوين الحرجة.
WooCommerce CSV Importer 3.3.6 يحتوي على ثغرة اجتياز المسار التي تسمح للمستخدمين المسجلين بحذف ملفات عشوائية عبر أسماء ملفات غير معالجة في إجراء delete_export_file AJAX. يمكن للمهاجمين صياغة طلبات POST ضارة تحتوي على تسلسلات اجتياز الدليل لحذف ملفات حرجة مثل wp-config.php خارج الدليل المقصود.
Immediately upgrade WooCommerce CSV Importer to version 3.3.7 or later. Implement strict input validation and sanitization for all filename parameters in AJAX actions. Apply principle of least privilege to file operations and restrict file deletion to designated directories only. Monitor and audit all file deletion activities.
قم بترقية WooCommerce CSV Importer فوراً إلى الإصدار 3.3.7 أو أحدث. طبق التحقق الصارم من المدخلات والتنظيف لجميع معاملات اسم الملف في إجراءات AJAX. طبق مبدأ أقل صلاحية على عمليات الملفات وقيد حذف الملفات على الدلائل المخصصة فقط. راقب وتدقيق جميع أنشطة حذف الملفات.