WordPress Sogrid प्लगइन <= 1.5.6 - लोकल फ़ाइल इन्क्लूज़न (Local File Inclusion) भेद्यता

यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों को पढ़ने की अनुमति देती है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें या स्रोत कोड। हमलावर इस जानकारी का उपयोग सिस्टम को और अधिक समझौता करने या डेटा चुराने के लिए कर सकते हैं। एक सफल शोषण से सर्वर पर कोड निष्पादन भी हो सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता WordPress वेबसाइटों के लिए एक गंभीर खतरा है, क्योंकि यह हमलावरों को संवेदनशील डेटा तक पहुंचने और वेबसाइट की अखंडता से समझौता करने की अनुमति देती है।

WordPress websites utilizing the Sogrid plugin, particularly those running older versions (≤1.5.6), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with default configurations or those lacking robust security practices are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/sogrid/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/sogrid/../../../../etc/passwd'

1. 2024-12-16Disclosure

   disclosure

1. आरक्षित2024-12-02
2. प्रकाशित2024-12-16
3. EPSS अद्यतन2026-04-02

Sogrid प्लगइन को तुरंत संस्करण 1.5.7 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियम कॉन्फ़िगर करें। फ़ाइल अपलोड और समावेशन प्रक्रियाओं को सख्त रूप से सीमित करें ताकि अनधिकृत फ़ाइलों को एक्सेस न किया जा सके। सुनिश्चित करें कि WordPress वेबसाइट पर फ़ाइल अनुमतियाँ सही ढंग से सेट हैं, ताकि केवल आवश्यक उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुंच हो।