WordPress Aviation Weather from NOAA प्लगइन <= 0.7.2 - मनमाना फ़ाइल डिलीशन भेद्यता

पथ पारगमन भेद्यता का शोषण करने वाला एक हमलावर सिस्टम पर मनमाने ढंग से फ़ाइलों को पढ़ सकता है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। हमलावर सिस्टम पर कोड भी निष्पादित कर सकता है या अन्य दुर्भावनापूर्ण क्रियाएं कर सकता है। इस भेद्यता का उपयोग संवेदनशील जानकारी को चुराने, सिस्टम को नियंत्रित करने या अन्य सिस्टम पर हमला करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि इसका शोषण करने के लिए हमलावर को सिस्टम तक पहुँच की आवश्यकता नहीं होती है।

WordPress sites utilizing the Aviation Weather from NOAA plugin, particularly those running older, unpatched versions (0.0.0 - 0.7.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/aviation-weather-from-noaa/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/aviation-weather-from-noaa/../../../../etc/passwd'

1. 2025-07-04Disclosure

   disclosure

1. आरक्षित2025-03-11
2. प्रकाशित2025-07-04
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-28980 के प्रभाव को कम करने के लिए, Aviation Weather from NOAA को संस्करण 0.7.3 में तुरंत अपडेट करने की अनुशंसा की जाती है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम तक पहुँच को सीमित करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, फ़ाइल सिस्टम तक पहुँच को सीमित करने के लिए फ़ाइल अनुमतियों को कॉन्फ़िगर किया जा सकता है। अपडेट करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल सिस्टम तक अनधिकृत पहुँच के प्रयास की जाँच करें।

सक्रिय इंस्टॉलेशन

100

प्लगइन रेटिंग