WordPress Total Upkeep प्लगइन <= 1.15.8 - मनमाना फ़ाइल डाउनलोड भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें संवेदनशील डेटा, कॉन्फ़िगरेशन फ़ाइलें और अन्य महत्वपूर्ण जानकारी शामिल हो सकती है। हमलावर इस भेद्यता का उपयोग सर्वर पर नियंत्रण हासिल करने या डेटा चोरी करने के लिए कर सकते हैं। यदि हमलावर को अपलोड करने की अनुमति है, तो वे दुर्भावनापूर्ण फ़ाइलें अपलोड कर सकते हैं और उन्हें निष्पादित कर सकते हैं, जिससे सर्वर पर पूर्ण नियंत्रण हो सकता है। यह भेद्यता WordPress वेबसाइटों के लिए विशेष रूप से गंभीर है, क्योंकि वे अक्सर संवेदनशील जानकारी संग्रहीत करती हैं।

WordPress websites utilizing BoldGrid Total Upkeep, particularly those with older versions (≤1.15.8) and less stringent security configurations, are at risk. Shared hosting environments where users have limited control over server permissions are also particularly vulnerable, as are systems with default or weak file access controls.

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/total-upkeep/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/total-upkeep/../../../../etc/passwd' # Attempt to access sensitive files

1. 2024-05-17Disclosure

   disclosure

1. आरक्षित2024-02-01
2. प्रकाशित2024-05-17
3. संशोधित2024-08-01
4. EPSS अद्यतन2026-04-02

सबसे महत्वपूर्ण उपाय Total Upkeep को संस्करण 1.15.9 या बाद के संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करना और उन निर्देशिकाओं तक पहुंच को सीमित करना जो हमलावर लक्षित कर सकते हैं, पर विचार करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। WAF नियमों को कॉन्फ़िगर करें जो पथ पारगमन पैटर्न का पता लगाते हैं और उन्हें रोकते हैं।

सक्रिय इंस्टॉलेशन

50Kज्ञात

प्लगइन रेटिंग