WordPress Image Shadow प्लगइन <= 1.1.0 - मनमाना फ़ाइल डिलीशन भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, जिसमें संवेदनशील डेटा, कॉन्फ़िगरेशन फ़ाइलें और अन्य महत्वपूर्ण जानकारी शामिल हो सकती है। हमलावर इस भेद्यता का उपयोग सर्वर पर नियंत्रण हासिल करने, डेटा चोरी करने या सिस्टम को नुकसान पहुंचाने के लिए कर सकते हैं। पथ पारगमन भेद्यताएँ अक्सर वेब सर्वर के रूट फ़ोल्डर तक पहुँचने के लिए उपयोग की जाती हैं, जिससे हमलावर सिस्टम पर व्यापक नियंत्रण प्राप्त कर सकते हैं।

WordPress websites utilizing the Image Shadow plugin, particularly those running older versions (0.0.0–1.1.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/image-shadow/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/image-shadow/../../../../etc/passwd | head -n 1

1. 2025-06-27Disclosure

   disclosure

1. आरक्षित2025-01-23
2. प्रकाशित2025-06-27
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

Image Shadow को संस्करण 1.1.1 में अपडेट करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि तत्काल अपडेट संभव नहीं है, तो वेब सर्वर कॉन्फ़िगरेशन में अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं, जैसे कि फ़ाइल एक्सेस प्रतिबंध और सख्त फ़ायरवॉल नियम। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है।