WordPress Delete Comments By Status प्लगइन <= 1.5.3 - लोकल फ़ाइल इन्क्लूज़न (Local File Inclusion) भेद्यता

यह Path Traversal भेद्यता हमलावरों को सर्वर फ़ाइल सिस्टम में मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या अन्य महत्वपूर्ण जानकारी प्राप्त कर सकते हैं। इस भेद्यता का उपयोग सर्वर पर नियंत्रण हासिल करने या अन्य सिस्टम पर हमला करने के लिए भी किया जा सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं।

WordPress websites using the Delete Comments By Status plugin, particularly those running older versions (0.0.0 - 2.1.1), are at risk. Shared hosting environments where file permissions are not strictly controlled are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/delete-comments-by-status/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/delete-comments-by-status/../../../../etc/passwd

1. 2025-03-03Disclosure

   disclosure

1. आरक्षित2025-02-03
2. प्रकाशित2025-03-03
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-04-02

Delete Comments By Status को 2.1.2 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो वेब सर्वर के लिए फ़ाइल एक्सेस प्रतिबंधों को कड़ा करने पर विचार करें। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके Path Traversal हमलों को ब्लॉक करने के लिए नियम कॉन्फ़िगर करें। फ़ाइल एक्सेस लॉग की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।