प्लेटफ़ॉर्म
wordpress
घटक
lbg-cleverbakery
में ठीक किया गया
2.5.4
HTML5 रेडियो प्लेयर - WPBakery पेज बिल्डर एडऑन में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) पाई गई है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर अनधिकृत क्रियाएं की जा सकती हैं। यह भेद्यता HTML5 रेडियो प्लेयर - WPBakery पेज बिल्डर एडऑन के संस्करण 0.0.0 से लेकर 2.5 तक के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 2.5.4 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर वेब रूट के बाहर स्थित फ़ाइलों को भी पढ़ सकते हैं, जिससे संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या अन्य गोपनीय जानकारी का खुलासा हो सकता है। यदि हमलावर वेब सर्वर पर लिखने की अनुमति प्राप्त कर लेता है, तो वह दुर्भावनापूर्ण कोड अपलोड कर सकता है या मौजूदा फ़ाइलों को संशोधित कर सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में गंभीर है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, क्योंकि एक वेबसाइट पर भेद्यता का फायदा उठाकर अन्य वेबसाइटों पर भी हमला किया जा सकता है।
इस भेद्यता के बारे में जानकारी 2025-07-16 को सार्वजनिक रूप से जारी की गई थी। अभी तक इस भेद्यता के सक्रिय शोषण के कोई विश्वसनीय प्रमाण नहीं मिले हैं, लेकिन पथ पारगमन भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकी है।
WordPress websites utilizing the HTML5 Radio Player - WPBakery Page Builder Addon, particularly those running older versions (0.0.0–2.5), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/lbg-cleverbakery/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/lbg-cleverbakery/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी उपाय HTML5 रेडियो प्लेयर - WPBakery पेज बिल्डर एडऑन को संस्करण 2.5.4 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को कम किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, फ़ाइल एक्सेस अनुमतियों को सख्त किया जाना चाहिए ताकि वेब सर्वर को केवल उन फ़ाइलों तक पहुँचने की अनुमति हो जिनकी उसे आवश्यकता है। फ़ाइल एक्सेस को सीमित करने के लिए उचित फ़ाइल सिस्टम अनुमतियों और एक्सेस नियंत्रण सूचियों (ACL) का उपयोग करें।
Actualice el plugin HTML5 Radio Player - WPBakery Page Builder Addon a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, evitando el acceso no autorizado a archivos sensibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-31070 HTML5 रेडियो प्लेयर - WPBakery पेज बिल्डर एडऑन में एक पथ पारगमन भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप HTML5 रेडियो प्लेयर - WPBakery पेज बिल्डर एडऑन के संस्करण 0.0.0 से लेकर 2.5 तक का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
HTML5 रेडियो प्लेयर - WPBakery पेज बिल्डर एडऑन को संस्करण 2.5.4 या बाद के संस्करण में अपडेट करें।
अभी तक इस भेद्यता के सक्रिय शोषण के कोई विश्वसनीय प्रमाण नहीं मिले हैं, लेकिन यह शोषण के लिए लक्षित हो सकती है।
आधिकारिक सलाहकार के लिए LambertGroup की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।