प्लेटफ़ॉर्म
wordpress
घटक
store-locator
में ठीक किया गया
3.98.11
CVE-2025-23422 moaluko Store Locator में एक पथ ट्रैवर्सल भेद्यता है, जो हमलावरों को स्थानीय फ़ाइलों को शामिल करने की अनुमति देती है। इस भेद्यता का प्रभाव संवेदनशील डेटा तक अनधिकृत पहुंच हो सकता है। यह भेद्यता Store Locator के संस्करण 0.0.0 से 3.98.10 तक के संस्करणों को प्रभावित करती है। संस्करण 3.98.11 में इस समस्या का समाधान किया गया है।
यह पथ ट्रैवर्सल भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक पहुंचने की अनुमति देती है। हमलावर फ़ाइल पथ में '..' अनुक्रम का उपयोग करके निर्देशिकाओं को पार कर सकते हैं और मनमानी फ़ाइलों को शामिल कर सकते हैं। इससे गोपनीय जानकारी का खुलासा हो सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल, या स्रोत कोड। एक सफल शोषण के परिणामस्वरूप सर्वर पर कोड निष्पादन भी हो सकता है, जिससे सिस्टम पर हमलावर का पूर्ण नियंत्रण हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह स्थानीय फ़ाइल समावेश (LFI) की अनुमति देती है, जो अक्सर आगे के हमलों के लिए एक प्रवेश बिंदु के रूप में उपयोग की जाती है।
CVE-2025-23422 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन पथ ट्रैवर्सल भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं। यह भेद्यता KEV (Know Exploited Vulnerabilities) में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो इस भेद्यता का शोषण करने के तरीके को प्रदर्शित करते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो इसकी गंभीरता को उजागर करती है।
WordPress websites utilizing the moaluko Store Locator plugin, particularly those running older versions (0.0.0–3.98.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list --status=inactive | grep store-locator• wordpress / plugin:
wp plugin update --all• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/store-locator/../../../../etc/passwd' # Check for file disclosure• generic web:
grep -r "../" /var/log/apache2/access.log # Look for path traversal attempts in logsdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.17% (38% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-23422 को कम करने के लिए, Store Locator को संस्करण 3.98.11 या उच्चतर में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या रिवर्स प्रॉक्सी का उपयोग करके फ़ाइल पथों को मान्य करें और अनधिकृत फ़ाइल एक्सेस को रोकें। फ़ाइल सिस्टम अनुमतियों को भी कड़ा करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुंच हो। इसके अतिरिक्त, Store Locator के कॉन्फ़िगरेशन को सुरक्षित करने और अनावश्यक फ़ाइलों को हटाने पर विचार करें। अपग्रेड के बाद, फ़ाइल पथों को मान्य करने के लिए WAF नियमों की प्रभावशीलता को सत्यापित करें और यह सुनिश्चित करें कि संवेदनशील फ़ाइलों तक अनधिकृत पहुंच नहीं है।
Actualice el plugin Store Locator a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inclusión de archivos locales. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-23422 moaluko Store Locator में एक पथ ट्रैवर्सल भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक पहुंचने की अनुमति देती है।
यदि आप Store Locator के संस्करण 0.0.0 से 3.98.10 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Store Locator को संस्करण 3.98.11 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करके फ़ाइल पथों को मान्य करें।
CVE-2025-23422 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह शोषण के लिए लक्षित हो सकता है।
moaluko Store Locator की वेबसाइट या संबंधित सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।