प्लेटफ़ॉर्म
wordpress
घटक
wp-ultimate-csv-importer
में ठीक किया गया
7.20.1
7.20.1
WP Ultimate CSV Importer – Import CSV, XML & Excel into WordPress प्लगइन में एक अनधिकृत फ़ाइल एक्सेस भेद्यता पाई गई है। इस भेद्यता के कारण, प्रमाणित हमलावर, सब्सक्राइबर स्तर या उससे ऊपर के, सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने में सक्षम हो सकते हैं। यह भेद्यता प्लगइन के संस्करण 0.0.0 से 7.20 तक के संस्करणों को प्रभावित करती है, और इसे संस्करण 7.20.1 में ठीक किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है। सबसे गंभीर रूप से, यदि हमलावर wp-config.php जैसी महत्वपूर्ण फ़ाइलों को हटा देता है, तो वे रिमोट कोड निष्पादन (RCE) प्राप्त कर सकते हैं, जिससे उन्हें सर्वर पर पूर्ण नियंत्रण मिल सकता है। यह डेटा चोरी, वेबसाइट को खराब करने या अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। इस भेद्यता का शोषण करने के लिए हमलावरों को प्लगइन में सब्सक्राइबर स्तर या उससे ऊपर का एक्सेस होना आवश्यक है। चूंकि यह भेद्यता WordPress प्लगइन में मौजूद है, इसलिए यह वेबसाइटों की एक विस्तृत श्रृंखला को प्रभावित कर सकती है जो इस प्लगइन का उपयोग करती हैं।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर 8.1 (HIGH) है, जो मध्यम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। 2025-04-01 को CVE प्रकाशित किया गया था।
WordPress websites using the WP Ultimate CSV Importer plugin, particularly those with Subscriber-level users who have access to import and export functionality, are at risk. Shared hosting environments where file permissions are less tightly controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r 'deleteImage(' /var/www/html/wp-content/plugins/wp-ultimate-csv-importer/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-ultimate-csv-importer'• wordpress / composer / npm:
wp plugin update wp-ultimate-csv-importer --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
5.63% (90% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तुरंत WP Ultimate CSV Importer प्लगइन को संस्करण 7.20.1 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए प्लगइन कोड में बदलाव करने पर विचार करें, हालांकि यह एक जटिल प्रक्रिया हो सकती है और त्रुटियों का कारण बन सकती है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल एक्सेस प्रयासों को ब्लॉक करें। WordPress प्लगइन के लिए सुरक्षा नियमों को कॉन्फ़िगर करें जो संदिग्ध फ़ाइल हटाने के अनुरोधों का पता लगाते हैं।
Actualice el plugin WP Ultimate CSV Importer a la versión 7.20.1 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor o superiores puedan eliminar archivos sensibles en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-2007 WP Ultimate CSV Importer प्लगइन में एक भेद्यता है जो प्रमाणित हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है।
यदि आप WP Ultimate CSV Importer प्लगइन के संस्करण 0.0.0 से 7.20 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WP Ultimate CSV Importer प्लगइन को संस्करण 7.20.1 में अपडेट करें।
हालांकि सार्वजनिक रूप से उपलब्ध POC अभी तक ज्ञात नहीं हैं, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
कृपया WP Ultimate CSV Importer डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।