मुफ्त स्कैन करें
HIGHCVE-2026-6227CVSS 7.2

BackWPup <= 5.6.6 - 'block_name' पैरामीटर के माध्यम से प्रमाणित (व्यवस्थापक+) स्थानीय फ़ाइल समावेशन

प्लेटफ़ॉर्म

wordpress

घटक

backwpup

में ठीक किया गया

5.6.7

5.6.7

AI Confidence: highNVDEPSS 0.4%समीक्षित: मई 2026
NVD पर देखें
सहेजें

BackWPup – WordPress Backup & Restore Plugin में एक लोकल फ़ाइल समावेश (LFI) भेद्यता पाई गई है। यह भेद्यता हमलावरों को /wp-json/backwpup/v1/getblock REST एंडपॉइंट के माध्यम से मनमाने ढंग से फ़ाइलें शामिल करने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा या रिमोट कोड निष्पादन हो सकता है। यह भेद्यता BackWPup के संस्करण 5.6.6 और उससे पहले को प्रभावित करती है। संस्करण 5.6.7 में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों के लिए गंभीर जोखिम पैदा करती है, खासकर उन वेबसाइटों के लिए जो BackWPup प्लगइन का उपयोग करती हैं। एक सफल शोषण हमलावर को wp-config.php जैसी संवेदनशील फ़ाइलों तक पहुंच प्राप्त करने की अनुमति दे सकता है, जिसमें डेटाबेस क्रेडेंशियल और अन्य महत्वपूर्ण कॉन्फ़िगरेशन जानकारी शामिल है। इसके अतिरिक्त, कुछ सर्वर कॉन्फ़िगरेशन में, हमलावर इस भेद्यता का उपयोग रिमोट कोड निष्पादित करने के लिए कर सकते हैं, जिससे वे वेबसाइट पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता WordPress वेबसाइटों की सुरक्षा को खतरे में डालती है और डेटा उल्लंघन और सेवा व्यवधान का कारण बन सकती है।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन भेद्यता की गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। हमलावरों द्वारा इस भेद्यता का सक्रिय रूप से शोषण करने की संभावना है, खासकर उन वेबसाइटों के लिए जो नवीनतम सुरक्षा पैच लागू नहीं करती हैं।

कौन जोखिम में हैअनुवाद हो रहा है…

WordPress websites utilizing the BackWPup plugin, particularly those running versions 5.6.6 or earlier, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak administrator password policies are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r '....//' /var/www/html/wp-content/plugins/backwpup/includes/class-backwpup-rest.php

• generic web:

curl -I 'https://your-wordpress-site.com/wp-json/backwpup/v1/getblock?block_name=....//wp-config.php' | grep 'HTTP/1.1' # Check for 403 Forbidden or other error indicating access denied

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.41% (61% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकbackwpup
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 5.6.65.6.7
5.6.65.6.7

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
500Kज्ञात
प्लगइन रेटिंग
4.0
WordPress आवश्यक
5.1+
संगत संस्करण तक
7.0
PHP आवश्यक
7.4+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, BackWPup प्लगइन को तुरंत संस्करण 5.6.7 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /wp-json/backwpup/v1/getblock एंडपॉइंट तक पहुंच को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप सर्वर कॉन्फ़िगरेशन को सख्त करके और फ़ाइल अनुमतियों को सीमित करके हमले की सतह को कम कर सकते हैं। बैकअप फ़ाइलों और लॉग फ़ाइलों की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।

कैसे ठीक करें

संस्करण 5.6.7 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-6227 — LFI BackWPup – WordPress Backup & Restore Plugin क्या है?

CVE-2026-6227 BackWPup प्लगइन में एक लोकल फ़ाइल समावेश भेद्यता है, जो हमलावरों को संवेदनशील फ़ाइलों तक पहुंचने या कोड निष्पादित करने की अनुमति देती है।

क्या मैं CVE-2026-6227 से BackWPup – WordPress Backup & Restore Plugin से प्रभावित हूँ?

यदि आप BackWPup प्लगइन के संस्करण 5.6.6 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-6227 को BackWPup – WordPress Backup & Restore Plugin में कैसे ठीक करूँ?

BackWPup प्लगइन को संस्करण 5.6.7 में अपडेट करें।

क्या CVE-2026-6227 सक्रिय रूप से शोषण किया जा रहा है?

भेद्यता सार्वजनिक रूप से ज्ञात है और सक्रिय शोषण की संभावना है।

मैं BackWPup – WordPress Backup & Restore Plugin के लिए CVE-2026-6227 के लिए आधिकारिक सलाह कहाँ पा सकता हूँ?

BackWPup वेबसाइट पर आधिकारिक सलाह देखें: [https://backwpup.com/](https://backwpup.com/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें