प्लेटफ़ॉर्म
wordpress
घटक
bm-builder
में ठीक किया गया
3.16.4
सी थीम BM कंटेंट बिल्डर में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता BM कंटेंट बिल्डर के संस्करण 0.0.0 से लेकर 3.16.3.3 तक के संस्करणों को प्रभावित करती है। 3.16.3.3 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत किसी भी फ़ाइल तक पहुँचने की अनुमति देती है, बशर्ते वे उचित पथ पारगमन तकनीकों का उपयोग कर सकें। इसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। एक सफल शोषण से डेटा का उल्लंघन, सिस्टम समझौता या यहां तक कि सर्वर पर दूरस्थ कोड निष्पादन हो सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में खतरनाक है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, क्योंकि एक समझौता की गई वेबसाइट अन्य वेबसाइटों को भी खतरे में डाल सकती है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसकी CVSS स्कोर 7.7 है, जो इसे उच्च संभावना वाला खतरा बनाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन पथ पारगमन भेद्यताएँ आमतौर पर शोषण करने में अपेक्षाकृत आसान होती हैं। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2025-09-26 को प्रकाशित हुई थी।
WordPress sites utilizing the BM Content Builder plugin, particularly those running older versions (0.0.0–3.16.3.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored in configuration files or accessible through the WordPress file system are at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bm-builder/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/bm-builder/../../../../etc/passwd' # Check for file accessdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय BM कंटेंट बिल्डर को संस्करण 3.16.3.3 या उच्चतर में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। WAF को ऐसे अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे ../। इसके अतिरिक्त, सर्वर-साइड फ़ाइल एक्सेस को सख्त किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँचने की अनुमति हो। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल एक्सेस नियंत्रणों का परीक्षण करें।
Actualice el plugin BM Content Builder a la versión 3.16.3.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Verifique las fuentes oficiales del plugin o el repositorio de WordPress para obtener la última versión. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59002 BM कंटेंट बिल्डर में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप BM कंटेंट बिल्डर के संस्करण 0.0.0 से लेकर 3.16.3.3 तक चला रहे हैं, तो आप प्रभावित हैं।
BM कंटेंट बिल्डर को संस्करण 3.16.3.3 या उच्चतर में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो WAF का उपयोग करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन उच्च CVSS स्कोर के कारण यह संभावित खतरा है।
सी थीम की वेबसाइट पर जाएं या उनके सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।