WordPress Spice Blocks प्लगइन <= 2.0.7.4 - मनमाना फ़ाइल डाउनलोड भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। हमलावर इस जानकारी का उपयोग सिस्टम को समझौता करने, डेटा चोरी करने या सेवा से इनकार (DoS) करने के लिए कर सकते हैं। पथ पारगमन भेद्यता का फायदा उठाकर, हमलावर वेब सर्वर के रूट निर्देशिका तक पहुँच सकते हैं और महत्वपूर्ण फ़ाइलों को पढ़ सकते हैं या संशोधित कर सकते हैं। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं।

WordPress websites utilizing the Spice Blocks plugin, particularly those running versions 0.0.0 through 2.0.7.4, are at risk. Shared hosting environments where plugin configurations are less controlled are also more vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/spice-blocks/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/spice-blocks/../../../../etc/passwd' # Check for file access

1. 2025-06-09Disclosure

   disclosure

1. आरक्षित2025-05-15
2. प्रकाशित2025-06-09
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

Spice Blocks को संस्करण 2.0.7.5 या उच्चतर में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को रोकने का प्रयास करें। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो।

सक्रिय इंस्टॉलेशन

1Kआला

प्लगइन रेटिंग