प्लेटफ़ॉर्म
wordpress
घटक
wp-businessdirectory
में ठीक किया गया
3.1.3
CVE-2025-32629 एक पथ पारगमन भेद्यता है जो CMSJunkie के WP-BusinessDirectory प्लगइन में पाई गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता WP-BusinessDirectory के संस्करण 0.0.0 से 3.1.2 तक प्रभावित करती है। संस्करण 3.1.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिससे गोपनीय जानकारी उजागर हो सकती है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य संवेदनशील डेटा तक पहुँच प्राप्त कर सकते हैं। यदि हमलावर वेब सर्वर के लिए विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में लॉग इन कर सकता है, तो वे सिस्टम पर नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का उपयोग सर्वर पर मनमाना कोड निष्पादित करने के लिए भी किया जा सकता है, जिससे सिस्टम समझौता हो सकता है। यह भेद्यता अन्य पथ पारगमन भेद्यताओं के समान है, जैसे कि Apache Struts में पाई गई भेद्यताएँ, जहाँ हमलावरों ने संवेदनशील जानकारी तक पहुँचने के लिए पथ हेरफेर का उपयोग किया था।
CVE-2025-32629 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं। NVD और CISA ने इस भेद्यता के लिए तारीखें जारी की हैं: प्रकाशित: 2025-04-11। सक्रिय शोषण की कोई जानकारी नहीं है।
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Administrators who haven't recently updated their plugins or implemented robust security measures are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-businessdirectory/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/../../../../etc/passwd' # Attempt to access a sensitive filedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.38% (59% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय WP-BusinessDirectory प्लगइन को संस्करण 3.1.3 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके संवेदनशील फ़ाइलों तक पहुँचने के प्रयासों को ब्लॉक किया जा सकता है। WAF नियमों को पथ पारगमन हमलों का पता लगाने और उन्हें रोकने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो। सर्वर लॉग की नियमित रूप से निगरानी की जानी चाहिए ताकि पथ पारगमन हमलों के किसी भी प्रयास का पता लगाया जा सके।
Actualice el plugin WP-BusinessDirectory a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-32629 एक पथ पारगमन भेद्यता है जो CMSJunkie के WP-BusinessDirectory प्लगइन में पाई गई है, जिससे हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति मिलती है।
यदि आप WP-BusinessDirectory के संस्करण 0.0.0 से 3.1.2 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
WP-BusinessDirectory प्लगइन को संस्करण 3.1.3 या बाद के संस्करण में अपडेट करें।
वर्तमान में सक्रिय शोषण की कोई जानकारी उपलब्ध नहीं है।
CMSJunkie की वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।