प्लेटफ़ॉर्म
wordpress
घटक
post-slides
में ठीक किया गया
1.0.2
Post Slides WordPress प्लगइन में एक लोकल फ़ाइल इंक्लूज़न (LFI) भेद्यता पाई गई है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को, जैसे कि योगदानकर्ता या उच्च भूमिका वाले, सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता Post Slides प्लगइन के संस्करण 0 से 1.0.1 तक प्रभावित करती है। प्लगइन को तुरंत अपडेट करने या अस्थायी रूप से अक्षम करने की सिफारिश की जाती है।
यह भेद्यता एक प्रमाणित हमलावर को सर्वर पर मनमाने ढंग से फ़ाइलों को शामिल करने की अनुमति देती है। हमलावर संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं। इस जानकारी का उपयोग आगे के हमलों को लॉन्च करने, सिस्टम पर नियंत्रण प्राप्त करने या डेटा को चुराने के लिए किया जा सकता है। LFI भेद्यता का उपयोग अक्सर अन्य भेद्यताओं के साथ संयोजन में किया जाता है, जैसे कि रिमोट कोड निष्पादन (RCE) प्राप्त करने के लिए। इस मामले में, हमलावर संवेदनशील डेटा तक पहुंचने के बाद, सिस्टम पर मनमाना कोड निष्पादित करने के लिए इसका उपयोग कर सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन भेद्यता की गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। हमलावरों द्वारा सक्रिय रूप से इसका शोषण किए जाने की संभावना है, खासकर उन वेबसाइटों पर जिनमें पुराने प्लगइन संस्करण चल रहे हैं।
WordPress websites using the Post Slides plugin, particularly those with multiple users having contributor or higher roles, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable. Sites with outdated WordPress installations or weak security practices are at increased risk.
• wordpress / composer / npm:
grep -r "include(get_include_path()" /var/www/html/wp-content/plugins/post-slides/• wordpress / composer / npm:
wp plugin list --status=all | grep "post-slides"• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-slides/ | grep -i "include"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Post Slides प्लगइन को तुरंत संस्करण 1.0.2 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो प्लगइन को अस्थायी रूप से अक्षम करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके शॉर्टकोड विशेषताओं के इनपुट को मान्य करें ताकि दुर्भावनापूर्ण इनपुट को फ़िल्टर किया जा सके। सुनिश्चित करें कि WordPress इंस्टॉलेशन नवीनतम सुरक्षा पैच के साथ अपडेट किया गया है। फ़ाइल अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुंच हो।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-15491 Post Slides WordPress प्लगइन में एक लोकल फ़ाइल इंक्लूज़न (LFI) भेद्यता है, जो प्रमाणित उपयोगकर्ताओं को मनमाने ढंग से फ़ाइलों को शामिल करने की अनुमति देती है।
यदि आप Post Slides WordPress प्लगइन के संस्करण 0 से 1.0.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Post Slides प्लगइन को संस्करण 1.0.2 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो प्लगइन को अस्थायी रूप से अक्षम करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक PoC मौजूद हो सकते हैं, इसलिए सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए Post Slides प्लगइन वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।