The Yoco Payments plugin for WordPress is vulnerable to Path Traversal in all versions up to, and including, 3.8.8 via the file parameter. This makes it possible for unauthenticated attackers to read the contents of arbitrary files on the server, which can contain sensitive information.
The Yoco Payments plugin for WordPress versions up to 3.8.8 contains a critical path traversal vulnerability (CWE-22) allowing unauthenticated attackers to read arbitrary files on the server through the file parameter. This vulnerability has a CVSS score of 7.5 (High) and enables unauthorized access to sensitive configuration files, credentials, and system information without authentication.
تمثل هذه الثغرة الأمنية خطراً كبيراً حيث تسمح للمهاجمين غير المصادق عليهم باستغلال معامل الملف في إضافة Yoco Payments لقراءة أي ملف على الخادم. يمكن للمهاجمين الوصول إلى ملفات التكوين الحساسة مثل wp-config.php التي تحتوي على بيانات اعتماد قاعدة البيانات ومفاتيح الأمان. تصنف الثغرة ضمن CWE-22 (اجتياز المسار) وتستغل عدم التحقق الصحيح من مدخلات المستخدم. نظراً لعدم الحاجة إلى مصادقة، فإن سطح الهجوم واسع ويمكن استغلاله بسهولة من قبل المهاجمين عن بُعد للحصول على معلومات حساسة تمهد لهجمات أكثر تعقيداً.
تحتوي إضافة Yoco Payments لووردبريس حتى الإصدار 3.8.8 على ثغرة اجتياز مسار حرجة (CWE-22) تسمح للمهاجمين غير المصادق عليهم بقراءة ملفات عشوائية على الخادم عبر معامل الملف. تحمل هذه الثغرة درجة خطورة 7.5 (عالية) وتمكن من الوصول غير المصرح به إلى ملفات التكوين الحساسة وبيانات الاعتماد ومعلومات النظام دون مصادقة.
1. Immediately disable or remove the Yoco Payments plugin (versions up to 3.8.8) from all WordPress installations until a patched version is released by the vendor.
2. Implement Web Application Firewall (WAF) rules to block path traversal attempts by filtering requests containing directory traversal patterns (../, ..\ sequences) in the file parameter.
3. Conduct a comprehensive security audit of all WordPress installations to identify potential file access, review server logs for exploitation attempts, rotate all exposed credentials including database passwords and API keys, and monitor for unauthorized access to sensitive files.
1. تعطيل أو إزالة إضافة Yoco Payments (الإصدارات حتى 3.8.8) فوراً من جميع تثبيتات ووردبريس حتى صدور نسخة محدثة من المورد.
2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحظر محاولات اجتياز المسار عبر تصفية الطلبات التي تحتوي على أنماط اجتياز الدليل (../, ..\ sequences) في معامل الملف.
3. إجراء تدقيق أمني شامل لجميع تثبيتات ووردبريس لتحديد الوصول المحتمل للملفات، ومراجعة سجلات الخادم لمحاولات الاستغلال، وتدوير جميع بيانات الاعتماد المكشوفة بما في ذلك كلمات مرور قاعدة البيانات ومفاتيح API، ومراقبة الوصول غير المصرح به للملفات الحساسة.