WordPress Easy Video Player Wordpress & WooCommerce प्लगइन <= 10.0 - मनमाना फ़ाइल डाउनलोड भेद्यता

पथ पारगमन भेद्यता के कारण, एक हमलावर संवेदनशील फ़ाइलों तक पहुँच सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल, या अन्य संवेदनशील जानकारी। हमलावर सर्वर पर कोड भी निष्पादित कर सकता है यदि वे एक ऐसी फ़ाइल अपलोड करने में सक्षम हैं जिसमें दुर्भावनापूर्ण कोड है। इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है यदि सर्वर अन्य प्रणालियों से जुड़ा हुआ है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि इसका शोषण करना अपेक्षाकृत आसान है और इसके गंभीर परिणाम हो सकते हैं।

WordPress websites utilizing the Easy Video Player Wordpress & WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–10.0), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/easy-video-player-woocommerce/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-video-player-woocommerce/../../../../etc/passwd' # Check for file disclosure

1. 2025-07-16Disclosure

   disclosure

1. आरक्षित2025-03-11
2. प्रकाशित2025-07-16
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-28955 को कम करने के लिए, Easy Video Player Wordpress & WooCommerce को संस्करण 10.0.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने का प्रयास करें। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, फ़ाइल अपलोड को सख्त रूप से नियंत्रित किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि केवल अपेक्षित फ़ाइलें अपलोड की जा सकती हैं।