WordPress Helloprint प्लगइन <= 2.0.7 - मनमाना फ़ाइल विलोपन भेद्यता

यह Path Traversal भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें संवेदनशील जानकारी जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल, या अन्य महत्वपूर्ण डेटा शामिल हो सकते हैं। यदि हमलावर सर्वर पर लिखने की अनुमति प्राप्त कर सकता है, तो वह दुर्भावनापूर्ण कोड भी अपलोड कर सकता है या मौजूदा फ़ाइलों को संशोधित कर सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता वर्डप्रेस वेबसाइटों के लिए एक गंभीर खतरा है, क्योंकि यह हमलावरों को संवेदनशील डेटा तक पहुँचने या वेबसाइट को पूरी तरह से नियंत्रित करने की अनुमति दे सकती है।

WordPress websites utilizing the Helloprint plugin, particularly those running older versions (0.0.0–2.0.7) and those hosted on shared servers, are at significant risk. Sites with misconfigured file permissions or those lacking robust WAF protection are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/helloprint/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/helloprint/../../../../etc/passwd' # Check for file disclosure

1. 2025-03-03Disclosure

   disclosure

1. आरक्षित2025-02-12
2. प्रकाशित2025-03-03
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने के लिए, Helloprint प्लगइन को तुरंत संस्करण 2.0.8 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि हमलावर केवल उन फ़ाइलों तक पहुँच सके जिनकी उन्हें आवश्यकता है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके Path Traversal हमलों को ब्लॉक किया जा सकता है। फ़ाइल एक्सेस को सीमित करने के लिए प्लगइन कॉन्फ़िगरेशन की समीक्षा करें। अपडेट के बाद, प्लगइन की फ़ाइल एक्सेस अनुमतियों को सत्यापित करें और सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं के पास ही संवेदनशील फ़ाइलों तक पहुँच है।