प्लेटफ़ॉर्म
wordpress
घटक
directorist
में ठीक किया गया
8.4.9
CVE-2025-10488 Directorist: AI-Powered Business Directory प्लगइन में एक गंभीर भेद्यता है, जो अनधिकृत फ़ाइल एक्सेस की अनुमति देती है। इस भेद्यता का शोषण करके, एक हमलावर सर्वर पर फ़ाइलों को अनधिकृत रूप से स्थानांतरित कर सकता है, जिससे रिमोट कोड निष्पादन (RCE) का खतरा पैदा हो सकता है। यह भेद्यता WordPress प्लगइन के संस्करण 0.0.0 से 8.4.8 तक के संस्करणों को प्रभावित करती है। प्लगइन के संस्करण 8.4.9 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Directorist प्लगइन के माध्यम से सर्वर पर फ़ाइलों को अनधिकृत रूप से स्थानांतरित करने की अनुमति देती है। सबसे गंभीर परिदृश्य में, एक हमलावर wp-config.php जैसी महत्वपूर्ण फ़ाइल को स्थानांतरित कर सकता है, जिससे उन्हें संपूर्ण WordPress इंस्टॉलेशन पर नियंत्रण प्राप्त हो सकता है। इसका मतलब है कि वे मनमाने कोड को निष्पादित कर सकते हैं, संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, और वेबसाइट को पूरी तरह से समझौता कर सकते हैं। इस भेद्यता का शोषण करने के लिए हमलावर को प्रमाणीकरण की आवश्यकता नहीं होती है, जिससे यह और भी खतरनाक हो जाती है। यह भेद्यता WordPress वेबसाइटों के लिए एक महत्वपूर्ण सुरक्षा जोखिम पैदा करती है, खासकर उन वेबसाइटों के लिए जो Directorist प्लगइन का उपयोग करती हैं।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर 8.1 (HIGH) है, जो मध्यम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि भविष्य में PoC जारी किए जा सकते हैं। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं: प्रकाशित: 2025-10-25।
WordPress websites utilizing the Directorist plugin, particularly those running versions 0.0.0 through 8.4.8, are at risk. Shared hosting environments are particularly vulnerable, as they often have limited access controls and are more susceptible to cross-site scripting and file manipulation attacks. Sites with legacy configurations or those that haven't implemented robust security practices are also at increased risk.
• wordpress / composer / npm:
grep -r "add_listing_action" /var/www/html/wp-content/plugins/directorist/• wordpress / composer / npm:
wp plugin list --status=all | grep directorist• generic web:
Check WordPress plugin directory for Directorist version 8.4.8 or earlier.
• wordpress / composer / npm:
Review WordPress access logs for suspicious requests to the addlistingaction AJAX endpoint with unusual file paths.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.21% (43% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-10488 के प्रभाव को कम करने के लिए, सबसे पहले Directorist प्लगइन को संस्करण 8.4.9 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप फ़ाइल पथ सत्यापन को मजबूत करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कर सकते हैं। इसके अतिरिक्त, सुनिश्चित करें कि आपकी WordPress वेबसाइट नवीनतम सुरक्षा पैच के साथ अपडेट है और मजबूत पासवर्ड और दो-कारक प्रमाणीकरण का उपयोग करें। नियमित रूप से अपनी वेबसाइट की सुरक्षा ऑडिट करें और किसी भी संदिग्ध गतिविधि की निगरानी करें।
Actualice el plugin Directorist a la última versión disponible para solucionar la vulnerabilidad de movimiento arbitrario de archivos. Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-10488 Directorist प्लगइन में एक भेद्यता है जो हमलावरों को अनधिकृत रूप से फ़ाइलों को स्थानांतरित करने की अनुमति देती है, जिससे रिमोट कोड निष्पादन का खतरा पैदा हो सकता है।
यदि आप Directorist प्लगइन के संस्करण 0.0.0 से 8.4.8 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Directorist प्लगइन को संस्करण 8.4.9 में अपडेट करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभव है।
आधिकारिक सलाहकार के लिए Directorist वेबसाइट या WordPress प्लगइन रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।