प्लेटफ़ॉर्म
wordpress
घटक
drag-and-drop-multiple-file-upload-contact-form-7
में ठीक किया गया
1.3.9
Drag and Drop Multiple File Upload प्लगइन में एक गंभीर भेद्यता पाई गई है, जो अनधिकृत उपयोगकर्ताओं को सर्वर पर फ़ाइलों को हटाने की अनुमति देती है। यह भेद्यता WordPress वेबसाइटों के लिए रिमोट कोड निष्पादन (RCE) का खतरा पैदा करती है। यह भेद्यता प्लगइन के संस्करण 0 से 1.3.8.7 तक के संस्करणों को प्रभावित करती है। Flamingo प्लगइन की उपस्थिति इस भेद्यता के शोषण को आसान बनाती है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइल पथ जोड़ने की अनुमति देती है, जैसे कि ../../../../wp-config.php। Flamingo प्लगइन स्थापित होने पर, एक हमलावर आसानी से व्यवस्थापक अधिकारों का उपयोग करके इन फ़ाइलों को हटा सकता है, जिससे रिमोट कोड निष्पादन हो सकता है। यह वेबसाइट के पूर्ण नियंत्रण को खोने, संवेदनशील डेटा की चोरी, या वेबसाइट को दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग करने का कारण बन सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह बिना किसी प्रमाणीकरण के शोषण किया जा सकता है, जिसका अर्थ है कि कोई भी हमलावर इसका फायदा उठा सकता है।
यह भेद्यता अभी सार्वजनिक रूप से सक्रिय रूप से शोषण नहीं की जा रही है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकती है। CVE को 2025-03-28 को प्रकाशित किया गया था। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इसका शोषण करने की संभावना को बढ़ाता है।
WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.
• wordpress / composer / npm:
grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/• wordpress / composer / npm:
wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'• wordpress / composer / npm:
wp plugin list --status=active | grep 'flamingo'• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.
disclosure
एक्सप्लॉइट स्थिति
EPSS
2.88% (86% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे महत्वपूर्ण उपाय Drag and Drop Multiple File Upload प्लगइन को नवीनतम संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो Flamingo प्लगइन को निष्क्रिय करने पर विचार करें, क्योंकि यह भेद्यता के शोषण को आसान बनाता है। फ़ायरवॉल नियमों को कॉन्फ़िगर करके अपलोड फ़ाइलों तक पहुंच को सीमित करना भी एक अस्थायी उपाय हो सकता है। WordPress के लिए सुरक्षा नियमों को मजबूत करना और नियमित रूप से वेबसाइट की सुरक्षा ऑडिट करना भी महत्वपूर्ण है। अपडेट के बाद, जांचें कि फ़ाइल अपलोड प्रक्रिया सुरक्षित है और अनधिकृत फ़ाइल हटाने को रोका गया है।
Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-2328 Drag and Drop Multiple File Upload प्लगइन में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है।
यदि आप Drag and Drop Multiple File Upload प्लगइन के संस्करण 0 से 1.3.8.7 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Drag and Drop Multiple File Upload प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो Flamingo प्लगइन को निष्क्रिय करें।
हालांकि अभी सक्रिय रूप से शोषण नहीं किया जा रहा है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है।
आधिकारिक सलाहकार के लिए WordPress प्लगइन रिपॉजिटरी या प्लगइन डेवलपर की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।