WordPress CM Download Manager प्लगइन <= 2.9.6 - मनमाना फ़ाइल विलोपन भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, जिसमें संवेदनशील डेटा, कॉन्फ़िगरेशन फ़ाइलें और अन्य महत्वपूर्ण जानकारी शामिल हो सकती है। हमलावर इस भेद्यता का उपयोग सर्वर पर नियंत्रण हासिल करने, डेटा चोरी करने या सिस्टम को बाधित करने के लिए कर सकते हैं। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में खतरनाक हो सकती है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं।

WordPress websites utilizing the CM Download Manager plugin, particularly those with older versions (0.0.0 - 2.9.6), are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/cm-download-manager/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/cm-download-manager/../../../../etc/passwd

1. 2025-04-01Disclosure

   disclosure

1. आरक्षित2025-03-26
2. प्रकाशित2025-04-01
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

सबसे प्रभावी उपाय CM Download Manager को संस्करण 2.9.7 या बाद के संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, सर्वर पर फ़ाइल अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना जोखिम को कम करने में मदद कर सकता है। सुनिश्चित करें कि CM Download Manager के लिए फ़ाइल अनुमतियाँ उचित रूप से सेट हैं, ताकि केवल अधिकृत उपयोगकर्ताओं को ही फ़ाइलों तक पहुँचने की अनुमति हो। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, किसी भी संवेदनशील फ़ाइल तक अनधिकृत पहुँच का प्रयास करके।

सक्रिय इंस्टॉलेशन

100आला

प्लगइन रेटिंग