प्लेटफ़ॉर्म
wordpress
घटक
xstore
में ठीक किया गया
9.5.5
CVE-2025-11746 एक लोकल फ़ाइल इन्क्लूजन (LFI) भेद्यता है जो XStore वर्डप्रेस थीम को प्रभावित करती है। यह भेद्यता प्रमाणित हमलावरों को मनमाना PHP कोड निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा तक पहुंच या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता XStore थीम के संस्करण 0.0.0 से 9.5.4 तक के संस्करणों को प्रभावित करती है। 9.5.5 संस्करण में यह समस्या हल की गई है।
यह भेद्यता हमलावरों को XStore थीम के माध्यम से वर्डप्रेस वेबसाइट पर मनमाना PHP कोड निष्पादित करने की अनुमति देती है। चूंकि हमलावर को केवल सब्सक्राइबर स्तर का एक्सेस होना आवश्यक है, इसलिए यह भेद्यता व्यापक रूप से शोषण योग्य है। हमलावर संवेदनशील डेटा, जैसे डेटाबेस क्रेडेंशियल और उपयोगकर्ता जानकारी तक पहुंच प्राप्त कर सकते हैं। वे वेबसाइट को भी नियंत्रित कर सकते हैं, दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, या वेबसाइट को डिफेसमेंट कर सकते हैं। यह भेद्यता वेबसाइट की सुरक्षा और अखंडता के लिए गंभीर खतरा है। इस भेद्यता का शोषण करने के लिए हमलावर etajaxrequiredpluginspopup() फ़ंक्शन का उपयोग कर सकते हैं, जो समान भेद्यताओं के समान है जो वर्डप्रेस थीम में पहले पाई गई हैं।
CVE-2025-11746 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और अपेक्षाकृत आसान शोषण क्षमता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकी है। NVD और CISA ने इस भेद्यता के लिए अलर्ट जारी किए हैं, जो इसकी गंभीरता को दर्शाता है।
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.15% (36% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-11746 के प्रभाव को कम करने के लिए, XStore थीम को तुरंत संस्करण 9.5.5 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड और शामिल करने की अनुमति देने वाली किसी भी फ़ाइल को ब्लॉक करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करना और वर्डप्रेस वेबसाइट की सुरक्षा को मजबूत करना महत्वपूर्ण है। सुनिश्चित करें कि सभी वर्डप्रेस प्लगइन्स और थीम नवीनतम संस्करण में अपडेट किए गए हैं। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, etajaxrequiredpluginspopup() फ़ंक्शन को एक्सेस करके और यह सुनिश्चित करके कि कोई अनधिकृत फ़ाइलें शामिल नहीं की जा रही हैं।
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-11746 XStore वर्डप्रेस थीम में एक लोकल फ़ाइल इन्क्लूजन भेद्यता है जो हमलावरों को मनमाना PHP कोड निष्पादित करने की अनुमति देती है।
यदि आप XStore वर्डप्रेस थीम के संस्करण 0.0.0 से 9.5.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
XStore थीम को संस्करण 9.5.5 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या फ़ाइल अनुमतियों को सख्त करें।
CVE-2025-11746 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए एक आकर्षक लक्ष्य है।
XStore थीम के आधिकारिक वेबसाइट पर या वर्डप्रेस सुरक्षा सलाहकारियों में CVE-2025-11746 के लिए आधिकारिक सलाहकार खोजें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।