प्लेटफ़ॉर्म
wordpress
घटक
images-optimizer
में ठीक किया गया
3.3.1
CVE-2025-25163 एक Arbitrary File Access भेद्यता है जो Zach Swetz द्वारा विकसित A/B Image Optimizer प्लगइन में पाई गई है। यह भेद्यता हमलावरों को सिस्टम पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता A/B Image Optimizer के संस्करण 0.0.0 से लेकर 3.3 तक के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 3.3.1 में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों के लिए एक गंभीर खतरा है क्योंकि यह उन्हें सिस्टम पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। एक हमलावर इस भेद्यता का उपयोग संवेदनशील जानकारी, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य गोपनीय डेटा को उजागर करने के लिए कर सकता है। इसके अतिरिक्त, एक हमलावर इस भेद्यता का उपयोग सिस्टम पर नियंत्रण प्राप्त करने या दुर्भावनापूर्ण कोड निष्पादित करने के लिए कर सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को प्लगइन के माध्यम से एक विशेष रूप से तैयार किया गया अनुरोध भेजना होगा। अनुरोध में एक पथ ट्रैवर्सल स्ट्रिंग शामिल होगी जो हमलावर को सिस्टम पर एक मनमानी फ़ाइल तक पहुँचने की अनुमति देगी।
CVE-2025-25163 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ ट्रैवर्सल भेद्यताओं का इतिहास बताता है कि यह जल्दी ही शोषण का लक्ष्य बन सकता है। यह भेद्यता WordPress प्लगइन के माध्यम से प्रवेश बिंदु प्रदान करती है, जो इसे हमलावरों के लिए आकर्षक बनाती है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही PoC उपलब्ध हो जाएंगे। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है।
WordPress websites using the A/B Image Optimizer plugin, particularly those running older versions (0.0.0–3.3), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/images-optimizer/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/images-optimizer/../../../../etc/passwd"disclosure
एक्सप्लॉइट स्थिति
EPSS
25.69% (96% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-25163 के प्रभाव को कम करने के लिए, A/B Image Optimizer प्लगइन को तुरंत संस्करण 3.3.1 में अपडेट करना महत्वपूर्ण है। यदि प्लगइन को अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप फ़ाइल सिस्टम पर पहुँच को प्रतिबंधित करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कर सकते हैं। इसके अतिरिक्त, आप प्लगइन के लिए फ़ाइल अपलोड निर्देशिकाओं को सख्त करने पर विचार कर सकते हैं ताकि हमलावरों को मनमानी फ़ाइलों तक पहुँचने से रोका जा सके। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक कर दिया गया है, प्लगइन के माध्यम से एक विशेष रूप से तैयार किया गया अनुरोध भेजकर इसकी पुष्टि करें।
Actualice el plugin A/B Image Optimizer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-25163 A/B Image Optimizer प्लगइन में एक Arbitrary File Access भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप A/B Image Optimizer प्लगइन के संस्करण 0.0.0 से लेकर 3.3 तक का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
A/B Image Optimizer प्लगइन को संस्करण 3.3.1 में अपडेट करके इस समस्या को ठीक करें।
CVE-2025-25163 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह जल्दी ही शोषण का लक्ष्य बन सकता है।
कृपया Zach Swetz प्लगइन वेबसाइट पर जाएँ या WordPress प्लगइन रिपॉजिटरी में अपडेट की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।