प्लेटफ़ॉर्म
wordpress
घटक
hackrepair-plugin-archiver
में ठीक किया गया
2.0.5
CVE-2025-10176 WordPress के लिए The Hack Repair Guy's Plugin Archiver प्लगइन में Arbitrary File Access भेद्यता है. यह भेद्यता प्रमाणित हमलावरों को सर्वर पर मनमानी फ़ाइलों को हटाने की अनुमति देती है, जिससे संभावित रूप से रिमोट कोड निष्पादन हो सकता है. यह भेद्यता प्लगइन के संस्करण 0 से 2.0.4 तक प्रभावित करती है. सुरक्षा पैच जल्द ही जारी किया जाएगा.
यह भेद्यता हमलावरों को WordPress इंस्टॉलेशन पर महत्वपूर्ण फ़ाइलों को हटाने की अनुमति देती है. सबसे गंभीर रूप से, wp-config.php फ़ाइल को हटाने से डेटाबेस कनेक्शन और अन्य महत्वपूर्ण कॉन्फ़िगरेशन जानकारी उजागर हो सकती है, जिससे हमलावर सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकते हैं. एक हमलावर इस भेद्यता का उपयोग सर्वर पर मनमाना कोड निष्पादित करने, संवेदनशील डेटा चुराने या वेबसाइट को पूरी तरह से समझौता करने के लिए कर सकता है. यह भेद्यता Log4Shell जैसी अन्य गंभीर भेद्यताओं के समान है, जहां एक साधारण क्रिया के माध्यम से गंभीर परिणाम हो सकते हैं.
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं. CVE को CISA KEV सूची में जोड़ा गया है, जो भेद्यता के उच्च जोखिम को दर्शाता है. सक्रिय शोषण अभियान की जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है.
WordPress websites utilizing The Hack Repair Guy's Plugin Archiver plugin, particularly those with weak password policies or compromised administrator accounts, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "prepare_items function" /var/www/html/wp-content/plugins/plugin-archiver/• wordpress / composer / npm:
wp plugin list --status=inactive | grep plugin-archiver• wordpress / composer / npm:
wp plugin list | grep plugin-archiver• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/plugin-archiver/ | grep -i 'wp-config.php'disclosure
एक्सप्लॉइट स्थिति
EPSS
1.03% (77% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Plugin Archiver प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है. यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए प्लगइन कोड में बदलाव करने पर विचार करें. इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइलों को हटाने के प्रयासों को ब्लॉक किया जा सकता है. यह सुनिश्चित करें कि WordPress इंस्टॉलेशन नवीनतम सुरक्षा पैच के साथ अपडेट किया गया है और मजबूत पासवर्ड का उपयोग किया गया है.
Actualice el plugin The Hack Repair Guy's Plugin Archiver a la última versión disponible para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Verifique que las actualizaciones automáticas de plugins estén habilitadas en WordPress o descargue la última versión desde el repositorio oficial de WordPress.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-10176 WordPress के Plugin Archiver प्लगइन में एक भेद्यता है जो प्रमाणित हमलावरों को मनमानी फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है.
यदि आप Plugin Archiver प्लगइन के संस्करण 0 से 2.0.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं.
Plugin Archiver प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करें.
CVE-2025-10176 के सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है.
आधिकारिक सलाहकार के लिए Plugin Archiver वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जाँच करें.
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।