मुफ्त स्कैन करें
HIGHCVE-2025-39473CVSS 8.1

WordPress Seofy Core प्लगइन <= 1.6.8 - लोकल फ़ाइल इन्क्लूज़न भेद्यता

प्लेटफ़ॉर्म

wordpress

घटक

seofy-core

में ठीक किया गया

1.6.9

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

Seofy Core में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) की खोज की गई है, जो PHP लोकल फ़ाइल समावेशन (Local File Inclusion) की अनुमति देती है। यह भेद्यता WebGeniusLab Seofy Core के संस्करण 0.0.0 से 1.6.8 तक के संस्करणों को प्रभावित करती है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील फ़ाइलों तक पहुँच सकते हैं। संस्करण 1.6.11 में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। हमलावर संवेदनशील जानकारी जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या स्रोत कोड तक पहुँच सकते हैं। इसके अतिरिक्त, यदि हमलावर PHP कोड को निष्पादित करने में सक्षम है, तो वे सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता Log4Shell जैसी अन्य फ़ाइल समावेशन भेद्यताओं के समान जोखिम पैदा करती है, जहाँ हमलावर सिस्टम पर अनधिकृत पहुंच प्राप्त कर सकते हैं। संभावित प्रभाव में डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान शामिल हैं।

शोषण संदर्भ

यह CVE सार्वजनिक रूप से 2025-06-09 को प्रकाशित हुआ था। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) अभी तक ज्ञात नहीं है, लेकिन इसकी उच्च CVSS स्कोर (8.1) इंगित करती है कि इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। इस भेद्यता की संभावना मध्यम है, क्योंकि यह एक सामान्य भेद्यता वर्ग है और इसका शोषण अपेक्षाकृत आसान हो सकता है।

कौन जोखिम में हैअनुवाद हो रहा है…

WordPress websites utilizing the Seofy Core plugin, particularly those running versions 0.0.0 through 1.6.8, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as are sites with legacy configurations that haven't been regularly updated.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/seofy-core/*

• generic web:

curl -I http://example.com/wp-content/plugins/seofy-core/../../../../etc/passwd

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.07% (20% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H8.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकseofy-core
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0 – 1.6.81.6.9

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

Seofy Core को तुरंत संस्करण 1.6.11 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करें। WAF नियमों को ../ जैसे पथ पारगमन अनुक्रमों को फ़िल्टर करने के लिए कॉन्फ़िगर करें। इसके अतिरिक्त, फ़ाइल एक्सेस अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं और प्रक्रियाओं को संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो। सर्वर लॉग की नियमित रूप से निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है।

कैसे ठीक करें

संस्करण 1.6.11 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-39473 — पथ पारगमन भेद्यता Seofy Core में क्या है?

CVE-2025-39473 Seofy Core में एक पथ पारगमन भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। यह PHP लोकल फ़ाइल समावेशन (Local File Inclusion) की अनुमति देता है।

क्या मैं CVE-2025-39473 से Seofy Core में प्रभावित हूँ?

यदि आप Seofy Core के संस्करण 0.0.0 से 1.6.8 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2025-39473 से Seofy Core को कैसे ठीक करूँ?

Seofy Core को तुरंत संस्करण 1.6.11 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करें।

क्या CVE-2025-39473 सक्रिय रूप से शोषण किया जा रहा है?

इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) अभी तक ज्ञात नहीं है, लेकिन इसकी उच्च CVSS स्कोर इंगित करती है कि इसका शोषण किया जा सकता है।

मैं Seofy Core के लिए CVE-2025-39473 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?

WebGeniusLab की वेबसाइट पर आधिकारिक सलाहकार देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें