प्लेटफ़ॉर्म
wordpress
घटक
seofy-core
में ठीक किया गया
1.6.9
Seofy Core में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) की खोज की गई है, जो PHP लोकल फ़ाइल समावेशन (Local File Inclusion) की अनुमति देती है। यह भेद्यता WebGeniusLab Seofy Core के संस्करण 0.0.0 से 1.6.8 तक के संस्करणों को प्रभावित करती है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील फ़ाइलों तक पहुँच सकते हैं। संस्करण 1.6.11 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। हमलावर संवेदनशील जानकारी जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या स्रोत कोड तक पहुँच सकते हैं। इसके अतिरिक्त, यदि हमलावर PHP कोड को निष्पादित करने में सक्षम है, तो वे सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता Log4Shell जैसी अन्य फ़ाइल समावेशन भेद्यताओं के समान जोखिम पैदा करती है, जहाँ हमलावर सिस्टम पर अनधिकृत पहुंच प्राप्त कर सकते हैं। संभावित प्रभाव में डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान शामिल हैं।
यह CVE सार्वजनिक रूप से 2025-06-09 को प्रकाशित हुआ था। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) अभी तक ज्ञात नहीं है, लेकिन इसकी उच्च CVSS स्कोर (8.1) इंगित करती है कि इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। इस भेद्यता की संभावना मध्यम है, क्योंकि यह एक सामान्य भेद्यता वर्ग है और इसका शोषण अपेक्षाकृत आसान हो सकता है।
WordPress websites utilizing the Seofy Core plugin, particularly those running versions 0.0.0 through 1.6.8, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as are sites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/seofy-core/*• generic web:
curl -I http://example.com/wp-content/plugins/seofy-core/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
CISA SSVC
CVSS वेक्टर
Seofy Core को तुरंत संस्करण 1.6.11 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करें। WAF नियमों को ../ जैसे पथ पारगमन अनुक्रमों को फ़िल्टर करने के लिए कॉन्फ़िगर करें। इसके अतिरिक्त, फ़ाइल एक्सेस अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं और प्रक्रियाओं को संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो। सर्वर लॉग की नियमित रूप से निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है।
संस्करण 1.6.11 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-39473 Seofy Core में एक पथ पारगमन भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। यह PHP लोकल फ़ाइल समावेशन (Local File Inclusion) की अनुमति देता है।
यदि आप Seofy Core के संस्करण 0.0.0 से 1.6.8 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Seofy Core को तुरंत संस्करण 1.6.11 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करें।
इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) अभी तक ज्ञात नहीं है, लेकिन इसकी उच्च CVSS स्कोर इंगित करती है कि इसका शोषण किया जा सकता है।
WebGeniusLab की वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।