प्लेटफ़ॉर्म
wordpress
घटक
wp-editor
में ठीक किया गया
1.2.10
CVE-2025-3294 WP Editor प्लगइन में एक Directory Traversal भेद्यता है, जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को ओवरराइट करने की अनुमति देती है। यह भेद्यता प्लगइन के संस्करण 0.0.0 से 1.2.9.1 तक प्रभावित करती है। इस भेद्यता का फायदा उठाकर हमलावर दूरस्थ कोड निष्पादन कर सकते हैं। 2025-04-17 को यह भेद्यता प्रकाशित की गई थी और इसके लिए एक पैच उपलब्ध है।
यह भेद्यता हमलावरों को WP Editor प्लगइन के माध्यम से सर्वर पर मनमाने ढंग से फ़ाइलों को ओवरराइट करने की अनुमति देती है। यदि हमलावर वेब सर्वर द्वारा लिखी जा सकने वाली फ़ाइलों को ओवरराइट करने में सक्षम है, तो वे दूरस्थ कोड निष्पादन कर सकते हैं। इसका मतलब है कि हमलावर सर्वर पर नियंत्रण प्राप्त कर सकता है और संवेदनशील डेटा चोरी कर सकता है या दुर्भावनापूर्ण कोड चला सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणित हमलावरों को Administrator-level एक्सेस या उससे ऊपर के एक्सेस के साथ प्रभावित करती है।
CVE-2025-3294 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और संभावित प्रभाव के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन यह CISA KEV सूची में शामिल नहीं है। NVD में प्रकाशन तिथि 2025-04-17 है।
WordPress websites utilizing the WP Editor plugin, particularly those with administrator accounts that have unrestricted file upload permissions, are at significant risk. Shared hosting environments where users have administrator access to WordPress installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "wp-content/plugins/wp-editor/includes/file-handler.php" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-editor• wordpress / composer / npm:
wp plugin list | grep wp-editordisclosure
एक्सप्लॉइट स्थिति
EPSS
2.33% (85% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-3294 के लिए सबसे प्रभावी शमन उपाय प्लगइन को संस्करण 1.2.9.2 या बाद के संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए वेब सर्वर कॉन्फ़िगरेशन को संशोधित किया जा सकता है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल एक्सेस को ब्लॉक किया जा सकता है। फ़ाइल पथ सत्यापन को मजबूत करने के लिए, सुनिश्चित करें कि सभी फ़ाइल पथों को ठीक से मान्य किया गया है और उपयोगकर्ता इनपुट से दूषित नहीं हैं। अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, प्लगइन की कार्यक्षमता का परीक्षण करें।
Actualice el plugin WP Editor a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de validación de la ruta del archivo, previniendo que atacantes autenticados puedan sobrescribir archivos arbitrarios en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-3294 WP Editor प्लगइन में एक Directory Traversal भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को ओवरराइट करने की अनुमति देती है।
यदि आप WP Editor प्लगइन के संस्करण 0.0.0 से 1.2.9.1 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WP Editor प्लगइन को संस्करण 1.2.9.2 या बाद के संस्करण में अपडेट करें।
CVE-2025-3294 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह शोषण के लिए एक आकर्षक लक्ष्य है।
कृपया WP Editor प्लगइन के डेवलपर की वेबसाइट पर जाएं या WordPress.org पर संबंधित सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।