प्लेटफ़ॉर्म
wordpress
घटक
newsletters-lite
में ठीक किया गया
4.9.10
CVE-2025-4857 Newsletters WordPress प्लगइन में एक स्थानीय फ़ाइल समावेशन (LFI) भेद्यता है। यह भेद्यता प्रमाणित हमलावरों को प्रशासक स्तर के एक्सेस के साथ मनमाना फ़ाइलों को शामिल करने और निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा तक पहुंच प्राप्त हो सकती है या सर्वर पर कोड निष्पादित किया जा सकता है। यह भेद्यता Newsletters प्लगइन के संस्करण 0.0.0 से लेकर 4.9.9.9 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करें।
यह भेद्यता हमलावरों को Newsletters प्लगइन के माध्यम से सर्वर पर मनमाना PHP कोड निष्पादित करने की अनुमति देती है, बशर्ते उनके पास प्रशासक स्तर का एक्सेस हो। हमलावर संवेदनशील डेटा, जैसे डेटाबेस क्रेडेंशियल या कॉन्फ़िगरेशन फ़ाइलें प्राप्त कर सकते हैं। वे सर्वर पर अन्य एप्लिकेशन को भी लक्षित कर सकते हैं या सिस्टम पर नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता WordPress वेबसाइटों के लिए एक गंभीर खतरा है, खासकर उन वेबसाइटों के लिए जिनमें Newsletters प्लगइन स्थापित है। इस भेद्यता का शोषण करने के लिए हमलावर 'file' पैरामीटर का उपयोग करके मनमाना फ़ाइलों को शामिल कर सकते हैं। यदि हमलावर छवियों या अन्य 'सुरक्षित' फ़ाइल प्रकारों को अपलोड करने और शामिल करने में सक्षम हैं, तो वे कोड निष्पादित करने में सक्षम हो सकते हैं।
CVE-2025-4857 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बना सकते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
WordPress websites utilizing the Newsletters plugin, particularly those with administrator accounts that have weak passwords or are susceptible to credential stuffing attacks, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
grep -r "file=../" /var/www/wordpress/wp-content/plugins/newsletters/*• wordpress / plugin:
wp plugin list | grep newsletters• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/newsletters/?file=../../../../etc/passwd• generic web:
Check WordPress access logs for requests containing suspicious file paths in the file parameter, such as ../ or absolute paths.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.21% (43% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-4857 को कम करने के लिए, Newsletters WordPress प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'file' पैरामीटर के लिए अनुरोधों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप फ़ाइल अनुमतियों को सख्त करके और सर्वर पर फ़ाइल एक्सेस को प्रतिबंधित करके भेद्यता के जोखिम को कम कर सकते हैं। Newsletters प्लगइन के लिए फ़ाइल अनुमतियों को इस तरह से कॉन्फ़िगर करें कि केवल आवश्यक उपयोगकर्ताओं के पास ही फ़ाइलों तक पहुंच हो। नियमित रूप से अपने WordPress वेबसाइट और प्लगइन्स को अपडेट करना महत्वपूर्ण है ताकि ज्ञात भेद्यताओं से बचा जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के फ़ंक्शन को सत्यापित करें।
Actualice el plugin Newsletters a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-4857 Newsletters WordPress प्लगइन में एक स्थानीय फ़ाइल समावेशन (LFI) भेद्यता है, जो हमलावरों को मनमाना फ़ाइलें शामिल करने और निष्पादित करने की अनुमति देती है।
यदि आप Newsletters WordPress प्लगइन के संस्करण 0.0.0 से लेकर 4.9.9.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-4857 को ठीक करने के लिए, Newsletters WordPress प्लगइन को नवीनतम संस्करण में अपडेट करें।
CVE-2025-4857 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
आप WordPress न्यूज़लेटर्स सलाहकार को यहां पा सकते हैं: [WordPress न्यूज़लेटर्स सलाहकार लिंक] (लिंक को वास्तविक सलाहकार लिंक से बदलें)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।