प्लेटफ़ॉर्म
wordpress
घटक
wpevently
में ठीक किया गया
4.2.10
CVE-2025-30895 एक पथ पारगमन (Path Traversal) भेद्यता है जो magepeopleteam के WpEvently वर्डप्रेस प्लगइन में मौजूद है। यह भेद्यता हमलावरों को PHP लोकल फ़ाइल समावेशन (LFI) के माध्यम से संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता WpEvently के संस्करण 0.0.0 से 4.2.9 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, प्लगइन को संस्करण 4.2.10 या उससे ऊपर में अपडेट करें।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य संवेदनशील जानकारी को पढ़ सकते हैं। इस जानकारी का उपयोग सर्वर पर नियंत्रण हासिल करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। पथ पारगमन भेद्यता के कारण, हमलावर सर्वर के फ़ाइल सिस्टम में कहीं भी फ़ाइलों को शामिल करने में सक्षम हो सकते हैं, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता Log4Shell जैसे अन्य फ़ाइल समावेशन भेद्यताओं के समान जोखिम पैदा करती है, लेकिन इसका दायरा विशिष्ट रूप से WpEvently प्लगइन तक सीमित है।
CVE-2025-30895 को 2025-03-27 को सार्वजनिक रूप से प्रकट किया गया था। इस भेद्यता के लिए अभी तक कोई सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। इस भेद्यता का शोषण करने की संभावना मध्यम है, क्योंकि यह वर्डप्रेस प्लगइन में एक ज्ञात भेद्यता है और इसका शोषण अपेक्षाकृत आसान हो सकता है।
Websites using the WpEvently plugin, particularly those running older versions (0.0.0–4.2.9), are at risk. Shared hosting environments are particularly vulnerable as they often have limited access controls and a higher concentration of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-evently/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-evently/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.20% (42% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-30895 को कम करने के लिए, WpEvently प्लगइन को तुरंत संस्करण 4.2.10 या उससे ऊपर में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो पथ पारगमन हमलों को ब्लॉक कर सके। WAF नियमों को इस तरह कॉन्फ़िगर करें कि वे ../ जैसे पथों को फ़िल्टर करें। इसके अतिरिक्त, प्लगइन फ़ाइलों तक पहुँच को सीमित करने के लिए वर्डप्रेस फ़ाइल अनुमतियों को सख्त करें। नियमित रूप से वर्डप्रेस और प्लगइन्स को अपडेट करना महत्वपूर्ण है ताकि ज्ञात भेद्यताओं से बचा जा सके।
Actualice el plugin WpEvently a la última versión disponible para mitigar la vulnerabilidad de inyección de objetos PHP. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como limitar el acceso a archivos sensibles y validar las entradas del usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-30895 magepeopleteam के WpEvently वर्डप्रेस प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को PHP लोकल फ़ाइल समावेशन (LFI) के माध्यम से संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप WpEvently प्लगइन के संस्करण 0.0.0 से 4.2.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-30895 को ठीक करने के लिए, WpEvently प्लगइन को संस्करण 4.2.10 या उससे ऊपर में अपडेट करें।
इस भेद्यता के लिए अभी तक कोई सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
कृपया magepeopleteam की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।