वर्डप्रेस FW Food Menu प्लगइन <= 6.0.0 - मनमाना फ़ाइल विलोपन भेद्यता

पथ पारगमन भेद्यता के कारण, एक हमलावर सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ सकता है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। यदि हमलावर को सर्वर पर लिखने की अनुमति मिलती है, तो वे दुर्भावनापूर्ण कोड भी अपलोड कर सकते हैं या मौजूदा फ़ाइलों को संशोधित कर सकते हैं, जिससे सर्वर का पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहां कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, और एक भेद्य वेबसाइट से समझौता अन्य वेबसाइटों को भी खतरे में डाल सकता है।

WordPress websites utilizing the FW Food Menu plugin are at risk. This includes sites with legacy configurations, shared hosting environments where file permissions may be less restrictive, and those that haven't implemented robust security monitoring practices. Sites using older, unmaintained versions of WordPress are also at increased risk due to potential compatibility issues with the updated plugin.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/fw-food-menu/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/fw-food-menu/../../../../etc/passwd' # Check for file disclosure

• wordpress / composer / npm:

wp plugin list --status=active | grep 'fw-food-menu'

• wordpress / composer / npm:

wp plugin update fw-food-menu

1. 2025-06-27Disclosure

   disclosure

1. आरक्षित2025-06-04
2. प्रकाशित2025-06-27
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-49448 को कम करने के लिए, FW Food Menu को तुरंत 6.0.1 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने का प्रयास करें। WAF नियमों को फ़ाइलों तक पहुँचने के प्रयासों को रोकने के लिए कॉन्फ़िगर किया जाना चाहिए जो एप्लिकेशन के रूट निर्देशिका के बाहर हैं। इसके अतिरिक्त, फ़ाइल अनुमतियों को सख्त किया जाना चाहिए ताकि केवल आवश्यक उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति हो।