WooCommerce Designer Pro <= 1.9.28 - प्रमाणीकृत मनमाना फ़ाइल रीड (Unauthenticated Arbitrary File Read)

यह भेद्यता हमलावरों को सर्वर पर मनमानी फ़ाइलों को पढ़ने की अनुमति देती है। इसका मतलब है कि वे संवेदनशील जानकारी तक पहुंच सकते हैं, जैसे कि डेटाबेस क्रेडेंशियल, API कुंजियाँ, और अन्य गोपनीय डेटा। यदि wp-config.php फ़ाइल को पढ़ा जाता है, तो हमलावर पूरी वेबसाइट पर नियंत्रण कर सकते हैं। इस भेद्यता का उपयोग डेटा चोरी, वेबसाइट डिफेसमेंट, या अन्य दुर्भावनापूर्ण गतिविधियों के लिए किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह बिना प्रमाणीकरण के शोषण किया जा सकता है, जिसका अर्थ है कि किसी भी हमलावर के पास इसका फायदा उठाने की क्षमता है।

Websites using WooCommerce Designer Pro theme versions 1.0.0 through 1.9.28 are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. WordPress installations with default configurations and weak file permissions are also at increased risk.

• wordpress / composer / npm:

grep -r "wp-content/plugins/woocommerce-designer-pro/includes/" /var/log/apache2/access.log

• wordpress / composer / npm:

wp plugin list --status=inactive | grep woocommerce-designer-pro

• wordpress / composer / npm:

wp plugin list | grep woocommerce-designer-pro

1. 2025-10-31Disclosure

   disclosure

1. आरक्षित2025-09-23
2. प्रकाशित2025-10-31
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

CVE-2025-10897 को कम करने के लिए, WooCommerce Designer Pro को संस्करण 1.9.31 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल एक्सेस अनुरोधों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, wp-config.php फ़ाइल की अनुमतियों को बदलकर इसे केवल वेब सर्वर उपयोगकर्ता द्वारा ही पढ़ने योग्य बनाया जा सकता है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं।