प्लेटफ़ॉर्म
wordpress
घटक
dyapress
में ठीक किया गया
18.0.3
DyaPress ERP/CRM में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) की खोज की गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता PHP लोकल फ़ाइल समावेश (Local File Inclusion) का कारण बनती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता DyaPress ERP/CRM के संस्करण 0.0.0 से लेकर 18.0.2.0 तक के संस्करणों को प्रभावित करती है। इस समस्या को 18.0.3 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत किसी भी फ़ाइल को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और संवेदनशील डेटा शामिल हो सकते हैं। हमलावर इस भेद्यता का उपयोग सिस्टम पर नियंत्रण प्राप्त करने, दुर्भावनापूर्ण कोड निष्पादित करने या डेटा चोरी करने के लिए कर सकते हैं। पथ पारगमन भेद्यता (Path Traversal vulnerability) अक्सर अन्य भेद्यताओं के साथ मिलकर उपयोग की जाती है, जिससे हमले का प्रभाव बढ़ जाता है। इस भेद्यता का शोषण करने से सिस्टम की सुरक्षा से समझौता हो सकता है और गंभीर डेटा हानि हो सकती है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन सार्वजनिक रूप से उपलब्ध है। CISA ने इस CVE को अपनी KEV सूची में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) मौजूद हैं, जो इस भेद्यता के शोषण को प्रदर्शित करते हैं। NVD में प्रकाशन तिथि 2025-04-10 है।
Organizations using DyaPress ERP/CRM, particularly those with older versions (0.0.0–18.0.2.0) and those with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one DyaPress ERP/CRM instance could potentially affect other tenants.
• wordpress / composer / npm:
grep -r "../" /var/www/dyapress/• generic web:
curl -I http://your-dyapress-server.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --all | grep dyapressdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.26% (49% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी उपाय DyaPress ERP/CRM को संस्करण 18.0.3 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना जोखिम को कम करने में मदद कर सकता है। सुनिश्चित करें कि DyaPress ERP/CRM इंस्टॉलेशन सुरक्षित है और नवीनतम सुरक्षा पैच लागू किए गए हैं। अपडेट के बाद, सिस्टम की सुरक्षा की पुष्टि करने के लिए भेद्यता स्कैन चलाएं।
Actualice el plugin DyaPress ERP/CRM a la última versión disponible para solucionar la vulnerabilidad de inclusión de archivos locales. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-30582 DyaPress ERP/CRM में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेश (Local File Inclusion) का उपयोग करके सर्वर पर संग्रहीत फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप DyaPress ERP/CRM के संस्करण 0.0.0 से लेकर 18.0.2.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
DyaPress ERP/CRM को संस्करण 18.0.3 या उच्चतर में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो WAF का उपयोग करें या फ़ाइल अनुमतियों को सख्त करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन सार्वजनिक PoC मौजूद हैं।
आधिकारिक सलाहकार के लिए DyaPress वेबसाइट या सुरक्षा अधिसूचनाओं की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।