WordPress Advanced Classifieds & Directory Pro प्लगइन <= 3.1.3 - लोकल फ़ाइल इन्क्लूज़न (Local File Inclusion) भेद्यता

यह भेद्यता हमलावरों को सर्वर पर संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या अन्य गोपनीय डेटा शामिल हो सकते हैं। हमलावर इस जानकारी का उपयोग सिस्टम को समझौता करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकते हैं। इस भेद्यता का शोषण करने के लिए, हमलावर को एक विशेष रूप से तैयार अनुरोध भेजना होगा जो सर्वर को एक अनधिकृत निर्देशिका में फ़ाइलें एक्सेस करने के लिए प्रेरित करता है।

Websites utilizing PluginsWare Advanced Classifieds & Directory Pro, particularly those running older versions (≤3.1.3) and those with shared hosting environments where file permissions may be less restrictive, are at increased risk. Sites with sensitive data stored on the server are especially vulnerable.

• wordpress / plugin:

wp plugin list | grep Advanced Classifieds

• wordpress / plugin: Check for unusual files in the plugin's directory or accessible via web requests. • generic web: Monitor web server access logs for requests containing ../ or other path traversal sequences. • generic web: Use a WAF to block requests containing suspicious path traversal patterns.

1. 2024-07-09Disclosure

   disclosure

1. आरक्षित2024-06-09
2. प्रकाशित2024-07-09
3. संशोधित2024-08-02
4. EPSS अद्यतन2026-04-02

तुरंत एडवांस्ड क्लासिफाइड एंड डायरेक्टरी प्रो को संस्करण 3.1.4 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पाथ ट्रावर्सल हमलों को ब्लॉक करें। फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुँच हो। इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करें ताकि हमलावरों को दुर्भावनापूर्ण फ़ाइल पथ इंजेक्ट करने से रोका जा सके।