प्लेटफ़ॉर्म
wordpress
घटक
download-counter
में ठीक किया गया
1.4.1
अनातोली डाउनलोड काउंटर में एक पथ ट्रैवर्सल भेद्यता पाई गई है, जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता डाउनलोड काउंटर के संस्करण 0.0.0 से लेकर 1.4 तक के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 1.4.1 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है, जिसमें संवेदनशील जानकारी जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य गोपनीय डेटा शामिल हो सकते हैं। हमलावर इस भेद्यता का उपयोग सर्वर पर नियंत्रण हासिल करने या डेटा चोरी करने के लिए कर सकते हैं। यदि हमलावर को सिस्टम पर लिखने की अनुमति मिलती है, तो वे दुर्भावनापूर्ण कोड भी अपलोड कर सकते हैं, जिससे सर्वर का समझौता हो सकता है। यह भेद्यता अन्य वेब अनुप्रयोगों में भी शोषण की जा सकती है जो डाउनलोड काउंटर का उपयोग करते हैं।
यह CVE 2025-11-06 को प्रकाशित किया गया था। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। EPSS स्कोर अभी तक निर्धारित नहीं किया गया है।
WordPress sites utilizing the Anatoly Download Counter plugin, particularly those running older versions (0.0.0–1.4), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/download-counter/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/download-counter/download.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (25% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, डाउनलोड काउंटर को संस्करण 1.4.1 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो पथ ट्रैवर्सल हमलों को ब्लॉक कर सके। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि डाउनलोड काउंटर प्रक्रिया केवल उन फ़ाइलों तक पहुँच सके जिनकी उसे आवश्यकता है। सर्वर लॉग की नियमित रूप से निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है।
Actualice el plugin Download Counter a la última versión disponible para corregir la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar los permisos de archivo y directorio, para mitigar el riesgo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-60242 Anatoly Download Counter में एक पथ ट्रैवर्सल भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Anatoly Download Counter के संस्करण 0.0.0 से 1.4 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
डाउनलोड काउंटर को संस्करण 1.4.1 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF का उपयोग करें या फ़ाइल सिस्टम अनुमतियों को सख्त करें।
हालांकि सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए कृपया वर्डप्रेस सुरक्षा टीम की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।