फ़ाइल मैनेजर प्रो – फ़ाइल्सटर <= 1.8.5 - प्रमाणित (व्यवस्थापक+) स्थानीय जावास्क्रिप्ट फ़ाइल समावेशन

यह भेद्यता हमलावरों को WordPress वेबसाइट पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है, खासकर यदि वे प्रशासक विशेषाधिकार रखते हैं। हमलावर संवेदनशील डेटा, जैसे कि डेटाबेस क्रेडेंशियल, कॉन्फ़िगरेशन फ़ाइलें, या उपयोगकर्ता जानकारी तक पहुंच प्राप्त कर सकते हैं। वे वेबसाइट की कार्यक्षमता को भी संशोधित कर सकते हैं, दुर्भावनापूर्ण सामग्री इंजेक्ट कर सकते हैं, या अन्य हमलों को लॉन्च करने के लिए वेबसाइट का उपयोग कर सकते हैं। चूंकि यह LFI भेद्यता है, इसलिए हमलावर सुरक्षित फ़ाइल प्रकारों (जैसे छवियों) को अपलोड करके और उन्हें शामिल करके एक्सेस नियंत्रण को बायपास कर सकते हैं।

WordPress websites utilizing the Filester plugin, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at risk. Shared hosting environments where plugin updates are not managed centrally are also particularly vulnerable.

• wordpress / composer / npm:

grep -r 'fm_locale' /var/www/html/wp-content/plugins/filester/

• wordpress / composer / npm:

wp plugin list --status=all | grep filester

• wordpress / composer / npm:

wp plugin update filester --all

1. 2024-11-27Disclosure

   disclosure

1. आरक्षित2024-10-08
2. प्रकाशित2024-11-27
3. संशोधित2026-01-23
4. EPSS अद्यतन2026-04-02

File Manager Pro – Filester प्लगइन को तुरंत संस्करण 1.8.6 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल समावेशन पैरामीटर 'fm_locale' के लिए इनपुट सत्यापन लागू करें ताकि यह सुनिश्चित किया जा सके कि यह केवल अपेक्षित मूल्यों को स्वीकार करता है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल समावेशन प्रयासों को ब्लॉक किया जा सकता है। WordPress सुरक्षा प्लगइन का उपयोग करके फ़ाइल एक्सेस को प्रतिबंधित करने पर भी विचार करें।

सक्रिय इंस्टॉलेशन

100Kआला

प्लगइन रेटिंग