प्लेटफ़ॉर्म
wordpress
घटक
workreap
में ठीक किया गया
3.3.6
CVE-2025-59566 एक पथ पारगमन भेद्यता है जो AmentoTech Workreap प्लगइन में पाई गई है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील डेटा का खुलासा हो सकता है या सिस्टम पर अनधिकृत क्रियाएं की जा सकती हैं। यह भेद्यता Workreap प्लगइन के संस्करण 0.0.0 से 3.3.5 तक के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 3.3.6 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। एक हमलावर इस भेद्यता का उपयोग संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस सामग्री या अन्य महत्वपूर्ण डेटा तक पहुँचने के लिए कर सकता है। इसके अतिरिक्त, यदि हमलावर वेब सर्वर प्रक्रिया के समान विशेषाधिकारों के साथ चल रहा है, तो वे सिस्टम पर अनधिकृत क्रियाएं करने में सक्षम हो सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, जिससे यह व्यापक हमलों के लिए एक आकर्षक लक्ष्य बन जाती है। पथ पारगमन भेद्यताएँ अक्सर सर्वर-साइड रिमोट कोड निष्पादन (RCE) के लिए एक प्रारंभिक बिंदु के रूप में उपयोग की जाती हैं, जिससे संभावित रूप से सिस्टम पर पूर्ण नियंत्रण हो सकता है।
CVE-2025-59566 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताएँ आम तौर पर शोषण करने में आसान होती हैं। यह भेद्यता 2025-10-22 को प्रकाशित की गई थी। सक्रिय अभियान की जानकारी उपलब्ध नहीं है।
WordPress websites utilizing the Workreap plugin, particularly those running older versions (0.0.0–3.3.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable, as are websites with limited security configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/workreap/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/workreap/wp-content/../etc/passwd' # Attempt path traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-59566 के लिए तत्काल शमन प्लगइन को संस्करण 3.3.6 में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब सर्वर के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है ताकि पथ पारगमन हमलों को ब्लॉक किया जा सके। WAF को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि ../ अनुक्रम। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को कड़ा करना और संवेदनशील फ़ाइलों तक पहुँच को सीमित करना भेद्यता के प्रभाव को कम करने में मदद कर सकता है। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, फ़ाइल सिस्टम अनुमतियों और WAF नियमों की समीक्षा करें।
Actualice el plugin Workreap a una versión posterior a 3.3.5 para mitigar la vulnerabilidad de recorrido de ruta. Verifique la página del plugin en WordPress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59566 Workreap प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Workreap प्लगइन के संस्करण 0.0.0 से 3.3.5 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Workreap प्लगइन को संस्करण 3.3.6 में अपडेट करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन भेद्यता शोषण करने में आसान है।
AmentoTech की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।