प्लेटफ़ॉर्म
wordpress
घटक
wpgym
में ठीक किया गया
67.7.1
CVE-2025-3671 WPGYM - वर्डप्रेस जिम मैनेजमेंट सिस्टम प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है। यह भेद्यता प्रमाणित हमलावरों को सब्सक्राइबर स्तर की पहुंच या उससे अधिक के साथ सर्वर पर मनमाना फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है। यह भेद्यता WPGYM के संस्करण 0.0.0 से 67.7.0 तक को प्रभावित करती है। इस समस्या को हल करने के लिए, नवीनतम संस्करण में अपग्रेड करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को संवेदनशील डेटा तक पहुंचने या सर्वर पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है। हमलावर फ़ाइलों को शामिल करके और निष्पादित करके सिस्टम पर नियंत्रण प्राप्त कर सकते हैं, जिससे डेटा चोरी, वेबसाइट की छेड़छाड़ या अन्य दुर्भावनापूर्ण गतिविधियां हो सकती हैं। चूंकि भेद्यता को सब्सक्राइबर स्तर की पहुंच के साथ शोषण किया जा सकता है, इसलिए यह उन सिस्टम के लिए विशेष रूप से खतरनाक है जहां कई उपयोगकर्ताओं के पास सब्सक्राइबर भूमिका है। इस भेद्यता का उपयोग अन्य भेद्यताओं के साथ मिलकर सिस्टम पर पूर्ण नियंत्रण प्राप्त करने के लिए भी किया जा सकता है।
CVE-2025-3671 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है। इस CVE को अभी तक CISA KEV सूची में नहीं जोड़ा गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन भेद्यता का वर्णन करने वाले विवरण के कारण, PoC के विकास की संभावना है।
WordPress websites utilizing the WPGYM plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy configurations with outdated WordPress versions or plugins may be more vulnerable.
• wordpress / composer / npm:
grep -r "page=../../../../" /var/www/html/wp-content/plugins/wpgym/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wpgym• wordpress / composer / npm:
wp plugin update wpgym --all• generic web: Check WordPress error logs for attempts to access files outside the intended directory structure, specifically related to the 'page' parameter.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (39% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-3671 को कम करने के लिए, WPGYM प्लगइन के नवीनतम संस्करण में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो फ़ाइल समावेशन को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, यह सुनिश्चित करना महत्वपूर्ण है कि सभी उपयोगकर्ता मजबूत पासवर्ड का उपयोग करें और नियमित रूप से अपने पासवर्ड बदलें। फ़ाइल अपलोड को सख्त रूप से नियंत्रित करना और केवल आवश्यक फ़ाइल प्रकारों की अनुमति देना भी एक अच्छा अभ्यास है। WAF नियमों को लागू करते समय, 'page' पैरामीटर के लिए फ़ाइल समावेशन हमलों को रोकने के लिए विशेष ध्यान दें।
Actualice el plugin WPGYM a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las fuentes oficiales del plugin (Wordfence, CodeCanyon) para obtener la versión actualizada y las instrucciones de instalación. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-3671 WPGYM प्लगइन में एक भेद्यता है जो हमलावरों को मनमाना फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा तक पहुंच या कोड निष्पादन प्राप्त हो सकता है।
यदि आप WPGYM प्लगइन के संस्करण 0.0.0 से 67.7.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-3671 को ठीक करने के लिए, WPGYM प्लगइन के नवीनतम संस्करण में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो फ़ाइल समावेशन को सीमित करने के लिए WAF नियमों को लागू करें।
CVE-2025-3671 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है।
आधिकारिक सलाहकार के लिए WPGYM वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।