प्लेटफ़ॉर्म
wordpress
घटक
car-dealer-automotive-responsive
में ठीक किया गया
1.6.4
Car Dealer Automotive WordPress Theme – Responsive में एक गंभीर अनधिकृत फ़ाइल एक्सेस भेद्यता पाई गई है। यह भेद्यता deletepostphoto() और add_car() कार्यों में अपर्याप्त फ़ाइल पथ सत्यापन के कारण उत्पन्न होती है। संस्करण 1.0.0 से 1.6.3 तक के संस्करण प्रभावित हैं। हमलावर, सब्सक्राइबर स्तर के एक्सेस के साथ, सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने में सक्षम हो सकते हैं, जिससे रिमोट कोड निष्पादन की संभावना बढ़ जाती है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे गंभीर परिणाम हो सकते हैं। सबसे महत्वपूर्ण रूप से, wp-config.php फ़ाइल को हटाने से हमलावर WordPress इंस्टॉलेशन पर पूर्ण नियंत्रण प्राप्त कर सकते हैं, जिससे वे मनमाना कोड निष्पादित कर सकते हैं, डेटा चोरी कर सकते हैं, या साइट को पूरी तरह से नष्ट कर सकते हैं। add_car() फ़ंक्शन के माध्यम से मनमाने फ़ाइलों को पढ़ने की क्षमता भेद्यता के प्रभाव को और बढ़ाती है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि सब्सक्राइबर स्तर के एक्सेस वाले हमलावर भी इसका फायदा उठा सकते हैं, जिससे सुरक्षा जोखिम बढ़ जाता है।
यह भेद्यता सार्वजनिक रूप से 2025-02-27 को प्रकाशित हुई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, इसका फायदा उठाया जाने की संभावना है। इस भेद्यता को CISA KEV सूची में जोड़ा जाना बाकी है। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद होने की संभावना है, लेकिन अभी तक व्यापक रूप से ज्ञात नहीं है।
WordPress websites using the Car Dealer Automotive WordPress Theme – Responsive are at risk. Specifically, sites running versions 1.0.0 through 1.6.3 are vulnerable. Shared hosting environments are particularly at risk, as they often have limited control over file permissions and security configurations. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
wp plugin list | grep 'Car Dealer Automotive WordPress Theme'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'delete_post_photo' /var/www/html/wp-content/plugins/car-dealer-responsive/• wordpress / composer / npm:
wp plugin status | grep 'Car Dealer Automotive WordPress Theme'disclosure
एक्सप्लॉइट स्थिति
EPSS
1.00% (77% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तत्काल थीम को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, deletepostphoto() और add_car() कार्यों में इनपुट को मान्य करने के लिए सर्वर-साइड फ़िल्टरिंग को लागू किया जाना चाहिए। wp-config.php फ़ाइल की अनुमतियों को भी सख्त किया जाना चाहिए ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही इसकी एक्सेस हो। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल पथ सत्यापन को मैन्युअल रूप से जांचें।
Actualice el tema Car Dealer Automotive WordPress Theme – Responsive a la última versión disponible (superior a 1.6.3) para corregir la vulnerabilidad de eliminación y lectura arbitraria de archivos. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-1282 Car Dealer Automotive WordPress Theme में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है।
यदि आप Car Dealer Automotive WordPress Theme के संस्करण 1.0.0 से 1.6.3 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
थीम को नवीनतम संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों को लागू करें और फ़ाइल पथ सत्यापन को मजबूत करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन इसका फायदा उठाया जाने की संभावना है।
कृपया थीम डेवलपर या WordPress सुरक्षा सलाहकारियों की वेबसाइट पर आधिकारिक सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।