प्लेटफ़ॉर्म
wordpress
घटक
instawp-connect
में ठीक किया गया
0.1.1
इंस्टाWP कनेक्ट प्लगइन में एक लोकल फ़ाइल इन्क्लूजन (LFI) भेद्यता मौजूद है, जो हमलावरों को मनमाने PHP कोड को निष्पादित करने की अनुमति दे सकती है। यह भेद्यता सभी संस्करणों में मौजूद है, जिनमें 0.1.0.85 शामिल है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील डेटा प्राप्त कर सकते हैं या सिस्टम पर नियंत्रण हासिल कर सकते हैं। 2025-04-11 को यह भेद्यता प्रकाशित की गई थी और इसे ठीक करने के लिए अपडेट उपलब्ध हैं।
यह भेद्यता हमलावरों को सर्वर पर मौजूद मनमाना फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है। इसका मतलब है कि वे संवेदनशील डेटा तक पहुंच सकते हैं, जैसे कि डेटाबेस क्रेडेंशियल, कॉन्फ़िगरेशन फ़ाइलें, या अन्य गोपनीय जानकारी। हमलावर इस भेद्यता का उपयोग कोड निष्पादित करने, सिस्टम पर नियंत्रण हासिल करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए भी कर सकते हैं। यदि फ़ाइल अपलोड की जा सकती है और शामिल की जा सकती है, या फ़ाइलें स्थानीय रूप से मौजूद हैं, तो यह भेद्यता विशेष रूप से गंभीर है। यह भेद्यता WordPress वेबसाइटों के लिए एक महत्वपूर्ण खतरा है, क्योंकि यह हमलावरों को वेबसाइट के नियंत्रण को आसानी से हासिल करने की अनुमति दे सकती है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसका CVSS स्कोर 8.1 (HIGH) है, जो मध्यम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि भविष्य में PoC जारी किए जाएंगे। NVD और CISA ने इस भेद्यता के लिए कोई विशिष्ट तारीखें या जानकारी जारी नहीं की है।
WordPress websites using the InstaWP Connect plugin, particularly those with default file upload permissions or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'instawp-database-manager' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep InstaWP Connect• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/instawp-connect -type f -name '*.php' -print0 | xargs -0 grep 'instawp-database-manager'disclosure
एक्सप्लॉइट स्थिति
EPSS
10.16% (93% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, InstaWP Connect प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'instawp-database-manager' पैरामीटर के लिए इनपुट को फ़िल्टर कर सकते हैं। इसके अतिरिक्त, सुनिश्चित करें कि आपके सर्वर पर फ़ाइल अनुमतियाँ सही ढंग से कॉन्फ़िगर की गई हैं ताकि अनधिकृत पहुंच को रोका जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन की कार्यक्षमता का परीक्षण करें।
Actualice el plugin InstaWP Connect a una versión corregida. La vulnerabilidad de inclusión de archivos locales no autenticados permite la ejecución de código arbitrario. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-2636 InstaWP Connect प्लगइन में एक लोकल फ़ाइल इन्क्लूजन भेद्यता है जो हमलावरों को मनमाना फ़ाइलें शामिल करने और निष्पादित करने की अनुमति देती है।
यदि आप InstaWP Connect प्लगइन के संस्करण 0.0.0–0.1.0.85 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इंस्टाWP कनेक्ट प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि भविष्य में शोषण हो सकते हैं।
इंस्टाWP कनेक्ट वेबसाइट या संबंधित सुरक्षा सलाहकारों पर आधिकारिक सलाहकार की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।