प्लेटफ़ॉर्म
wordpress
घटक
meta-box
में ठीक किया गया
5.11.2
CVE-2025-14675 Meta Box प्लगइन में एक अनधिकृत फ़ाइल एक्सेस भेद्यता है। इस भेद्यता का फायदा उठाकर प्रमाणित हमलावर सर्वर पर मनमाने ढंग से फ़ाइलों को हटा सकते हैं, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है। यह भेद्यता Meta Box प्लगइन के सभी संस्करणों को 5.11.1 तक प्रभावित करती है। प्लगइन को संस्करण 5.11.2 में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Meta Box प्लगइन के माध्यम से सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है। हमलावर, जिनके पास 'कंट्रीब्यूटर' स्तर या उससे ऊपर की पहुंच है, वे इस भेद्यता का फायदा उठा सकते हैं। सबसे खतरनाक परिदृश्य में, हमलावर wp-config.php जैसी महत्वपूर्ण फ़ाइलों को हटा सकते हैं, जिससे वेबसाइट पूरी तरह से निष्क्रिय हो सकती है या हमलावर को सर्वर पर नियंत्रण मिल सकता है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, वेबसाइट को दूषित कर सकते हैं, या सर्वर पर मनमाना कोड निष्पादित कर सकते हैं। यह भेद्यता Log4Shell जैसे पिछले RCE भेद्यताओं के समान गंभीर परिणाम उत्पन्न कर सकती है, क्योंकि यह हमलावरों को सर्वर पर नियंत्रण प्राप्त करने का एक सीधा मार्ग प्रदान करती है।
CVE-2025-14675 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसका CVSS स्कोर 7.2 (HIGH) है, जो मध्यम संभावना को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-07 को प्रकाशित हुई थी।
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.89% (75% शतमक)
CISA SSVC
CVE-2025-14675 को कम करने के लिए, Meta Box प्लगइन को तुरंत संस्करण 5.11.2 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके 'ajaxdeletefile' फ़ंक्शन तक पहुंच को सीमित किया जा सकता है। इसके अतिरिक्त, प्लगइन फ़ाइलों की सुरक्षा के लिए फ़ाइल सिस्टम अनुमतियों को सख्त किया जाना चाहिए। इस भेद्यता का पता लगाने के लिए, सर्वर लॉग की निगरानी करें और अनधिकृत फ़ाइल हटाने के प्रयासों के संकेतों की तलाश करें।
संस्करण 5.11.2 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14675 Meta Box प्लगइन में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है।
यदि आप Meta Box प्लगइन के संस्करण 0.0.0 से 5.11.1 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Meta Box प्लगइन को संस्करण 5.11.2 में अपडेट करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए Meta Box वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।