वर्डप्रेस WP Pipes प्लगइन <= 1.4.3 - मनमाना फ़ाइल डिलीशन भेद्यता

यह Arbitrary File Access भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। इसका मतलब है कि वे संवेदनशील जानकारी जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य गोपनीय डेटा तक पहुँच सकते हैं। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता या सेवा से इनकार हो सकता है। हमलावर इस भेद्यता का उपयोग सिस्टम पर आगे बढ़ने और अन्य संसाधनों तक पहुँचने के लिए भी कर सकते हैं। इस भेद्यता का शोषण करने के लिए, हमलावर को WP Pipes प्लगइन के माध्यम से एक विशेष रूप से तैयार किया गया अनुरोध भेजना होगा।

WordPress websites utilizing the WP Pipes plugin, particularly those running older versions (0.0.0 - 1.4.3), are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates or implement workarounds.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/wp-pipes.php?file=../../../../etc/passwd' # Check for file disclosure

1. 2025-10-22Disclosure

   disclosure

1. आरक्षित2025-09-25
2. प्रकाशित2025-10-22
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-60227 के लिए प्राथमिक शमन WP Pipes प्लगइन को नवीनतम संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप फ़ाइल एक्सेस को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू कर सकते हैं। इसके अतिरिक्त, आप प्लगइन के फ़ाइल एक्सेस नियंत्रण को कॉन्फ़िगर करके एक्सेस को प्रतिबंधित कर सकते हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, प्लगइन के माध्यम से फ़ाइल एक्सेस करने का प्रयास करके और यह सुनिश्चित करके कि एक्सेस अस्वीकृत है।

सक्रिय इंस्टॉलेशन

400

प्लगइन रेटिंग