WordPress PT Luxa Addons प्लगइन <= 1.2.2 - मनमाना फ़ाइल हटाने की भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, क्योंकि उचित सीमाएँ लागू नहीं की गई हैं। हमलावर संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या अन्य गोपनीय जानकारी तक पहुँच सकते हैं। यह जानकारी हमलावरों को सिस्टम पर आगे बढ़ने, अन्य कमजोरियों का फायदा उठाने या डेटा को चुराने की अनुमति दे सकती है। इस भेद्यता का उपयोग सर्वर पर मनमाना कोड निष्पादित करने के लिए भी किया जा सकता है, जिससे सिस्टम का पूर्ण नियंत्रण हमलावर के हाथ में आ सकता है।

Websites utilizing the ypromo PT Luxa Addons plugin, particularly those running older, unpatched versions (0.0.0–1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/pt-luxa-addons/*

• generic web:

curl -I https://example.com/wp-content/plugins/pt-luxa-addons/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list | grep 'pt-luxa-addons'

• wordpress / composer / npm:

wp plugin update pt-luxa-addons

1. 2025-10-22Disclosure

   disclosure

1. आरक्षित2025-09-25
2. प्रकाशित2025-10-22
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

PT Luxa Addons प्लगइन को संस्करण 1.2.3 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को रोकने के लिए नियम लागू करें। फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुँच हो। नियमित रूप से प्लगइन और थीम को अपडेट करें ताकि ज्ञात कमजोरियों से बचा जा सके।