प्लेटफ़ॉर्म
wordpress
घटक
modula-best-grid-gallery
में ठीक किया गया
2.13.3
2.13.4
Modula Image Gallery प्लगइन, जो WordPress के लिए है, में एक गंभीर भेद्यता पाई गई है। यह भेद्यता अनधिकृत फ़ाइल एक्सेस की अनुमति देती है, जिससे हमलावर सर्वर पर मौजूद महत्वपूर्ण फ़ाइलों को हटा सकते हैं। यह भेद्यता Modula Image Gallery के संस्करण 2.13.1 से 2.13.2 तक प्रभावित करती है। इस समस्या को ठीक करने के लिए, प्लगइन को संस्करण 2.13.3 में अपडेट करना आवश्यक है।
यह भेद्यता हमलावरों को WordPress वेबसाइट पर संग्रहीत फ़ाइलों को हटाने की अनुमति देती है। सबसे गंभीर परिदृश्य में, हमलावर wp-config.php फ़ाइल को हटा सकते हैं, जिसमें डेटाबेस कनेक्शन जानकारी और अन्य संवेदनशील डेटा होता है। wp-config.php को हटाने से वेबसाइट पूरी तरह से निष्क्रिय हो सकती है और हमलावर डेटाबेस तक पहुंच प्राप्त कर सकते हैं। इसके अतिरिक्त, हमलावर अन्य महत्वपूर्ण फ़ाइलों को हटाकर वेबसाइट की कार्यक्षमता को बाधित कर सकते हैं या दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं। यह भेद्यता लॉग4शेल जैसी अन्य भेद्यताओं के समान गंभीर परिणाम उत्पन्न कर सकती है, जहां एक साधारण फ़ाइल हटाने से सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है।
यह CVE सार्वजनिक रूप से 2025-12-02 को प्रकाशित हुआ था। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से ज्ञात शोषण नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन इसकी उच्च CVSS स्कोर (7.2) इंगित करता है कि यह एक महत्वपूर्ण जोखिम है। हमलावरों द्वारा इस भेद्यता का फायदा उठाने की संभावना मध्यम है।
Websites using the Modula Image Gallery plugin, particularly those with multiple users having Author or higher roles, are at risk. Shared hosting environments where users have limited control over file permissions are also at increased risk, as are WordPress installations with outdated security practices and inadequate access controls.
• wordpress / composer / npm:
grep -r "ajax_unzip_file" /var/www/html/wp-content/plugins/modula-image-gallery/• wordpress / composer / npm:
wp plugin list --status=active | grep modula-image-gallery• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=modula_ajax_unzip_file&file=../../../../wp-config.phpdisclosure
एक्सप्लॉइट स्थिति
EPSS
1.19% (79% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, Modula Image Gallery प्लगइन को तुरंत संस्करण 2.13.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी उपाय के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही फ़ाइलों को हटाने की अनुमति हो। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो अनधिकृत फ़ाइल एक्सेस प्रयासों को ब्लॉक कर सके। WAF नियमों को ajaxunzipfile फ़ंक्शन के माध्यम से फ़ाइल एक्सेस अनुरोधों की निगरानी करने के लिए कॉन्फ़िगर करें। यदि संभव हो, तो WordPress वेबसाइट को ऑफ़लाइन ले जाएं और प्लगइन को अपडेट करने से पहले बैकअप लें। अपडेट के बाद, सुनिश्चित करें कि वेबसाइट सामान्य रूप से काम कर रही है और कोई त्रुटि नहीं है।
संस्करण 2.13.3 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-13645 Modula Image Gallery प्लगइन में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड एग्जीक्यूशन हो सकता है।
यदि आप Modula Image Gallery के संस्करण 2.13.1 या 2.13.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Modula Image Gallery प्लगइन को संस्करण 2.13.3 में अपडेट करें।
वर्तमान में कोई सार्वजनिक शोषण ज्ञात नहीं है, लेकिन इसकी गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
Modula Image Gallery की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।