पेज बिल्डर बाय साइटओरिजन <= 2.33.5 - प्रमाणित (योगदानकर्ता+) लोकल फ़ाइल समावेश
प्लेटफ़ॉर्म
wordpress
घटक
siteorigin-panels
में ठीक किया गया
2.33.6
CVE-2026-2448 SiteOrigin Page Builder प्लगइन में एक लोकल फ़ाइल इंक्लूज़न भेद्यता है, जो हमलावरों को मनमाने PHP कोड को निष्पादित करने की अनुमति देती है। यह भेद्यता SiteOrigin Page Builder के संस्करण 0.0.0 से 2.33.5 तक मौजूद है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील डेटा प्राप्त कर सकते हैं या सर्वर पर नियंत्रण हासिल कर सकते हैं। SiteOrigin ने इस समस्या को ठीक करने के लिए 2.34.0 संस्करण जारी किया है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावरों को SiteOrigin Page Builder प्लगइन के माध्यम से सर्वर पर मनमाने PHP कोड को निष्पादित करने की अनुमति देती है। हमलावर, कॉन्ट्रिब्यूटर स्तर या उससे ऊपर के एक्सेस के साथ, locate_template() फ़ंक्शन का उपयोग करके सर्वर पर मनमाने फ़ाइलों को शामिल कर सकते हैं। इसका उपयोग एक्सेस नियंत्रण को बायपास करने, संवेदनशील डेटा प्राप्त करने या ऐसे मामलों में कोड निष्पादित करने के लिए किया जा सकता है जहां छवियों और अन्य “सुरक्षित” फ़ाइल प्रकार अपलोड और शामिल किए जा सकते हैं। इस भेद्यता का फायदा उठाकर हमलावर सर्वर पर पूर्ण नियंत्रण हासिल कर सकते हैं, डेटा चोरी कर सकते हैं, या दुर्भावनापूर्ण कोड स्थापित कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को अपेक्षाकृत कम विशेषाधिकारों के साथ सर्वर पर नियंत्रण हासिल करने की अनुमति देती है।
शोषण संदर्भ
CVE-2026-2448 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और आसानी से शोषण करने की क्षमता के कारण यह चिंता का विषय है। यह भेद्यता WordPress इकोसिस्टम में व्यापक रूप से उपयोग किए जाने वाले प्लगइन को प्रभावित करती है, जिससे इसका शोषण करने का अवसर बढ़ जाता है। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन इसकी पुष्टि नहीं हुई है।
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
wp plugin list | grep 'Page Builder by SiteOrigin'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*• generic web: Check WordPress plugin directory for updated version and security advisories.
हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 500Kलोकप्रिय
- प्लगइन रेटिंग
- 4.8
- WordPress आवश्यक
- 4.7+
- संगत संस्करण तक
- 7.0
- PHP आवश्यक
- 7.0.0+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2026-2448 को कम करने के लिए, SiteOrigin Page Builder को संस्करण 2.34.0 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अनुमतियों को सख्त करना और locate_template() फ़ंक्शन के उपयोग को सीमित करना शामिल है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल इंक्लूज़न प्रयासों का पता लगाया जा सकता है और उन्हें अवरुद्ध किया जा सकता है। इसके अतिरिक्त, सर्वर लॉग की नियमित रूप से निगरानी करना और किसी भी संदिग्ध गतिविधि की जांच करना महत्वपूर्ण है। अपडेट करने के बाद, जांचें कि प्लगइन ठीक से काम कर रहा है और कोई नई त्रुटियां नहीं हैं।
कैसे ठीक करें
संस्करण 2.34.0 में अपडेट करें, या एक नया पैच किया गया संस्करण
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2026-2448 — लोकल फ़ाइल इंक्लूज़न SiteOrigin Page Builder में क्या है?
CVE-2026-2448 SiteOrigin Page Builder प्लगइन में एक लोकल फ़ाइल इंक्लूज़न भेद्यता है जो हमलावरों को मनमाने PHP कोड को निष्पादित करने की अनुमति देती है।
क्या मैं CVE-2026-2448 से SiteOrigin Page Builder में प्रभावित हूं?
यदि आप SiteOrigin Page Builder के संस्करण 0.0.0 से 2.33.5 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
मैं SiteOrigin Page Builder में CVE-2026-2448 को कैसे ठीक करूं?
SiteOrigin Page Builder को संस्करण 2.34.0 या बाद के संस्करण में अपडेट करें।
क्या CVE-2026-2448 सक्रिय रूप से शोषण किया जा रहा है?
CVE-2026-2448 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर के कारण यह चिंता का विषय है।
मैं SiteOrigin के लिए CVE-2026-2448 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?
SiteOrigin की वेबसाइट पर आधिकारिक सलाहकार देखें: [https://siteorigin.com/security/](https://siteorigin.com/security/)
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।