प्लेटफ़ॉर्म
wordpress
घटक
game-users-share-buttons
में ठीक किया गया
1.3.1
Game Users Share Buttons प्लगइन में Arbitrary File Access भेद्यता पाई गई है, जो WordPress वेबसाइटों के लिए गंभीर खतरा है। इस भेद्यता के कारण हमलावर अनधिकृत रूप से फ़ाइलों को हटा सकते हैं, जिससे संभावित रूप से दूरस्थ कोड निष्पादन (RCE) हो सकता है। यह भेद्यता WordPress के Game Users Share Buttons प्लगइन के संस्करण 1.0.0 से 1.3.0 तक के संस्करणों को प्रभावित करती है। सुरक्षा अपडेट जारी किया गया है, और उपयोगकर्ताओं को तुरंत कार्रवाई करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को WordPress वेबसाइट पर संग्रहीत संवेदनशील फ़ाइलों को हटाने की अनुमति देती है। फ़ाइल पथ सत्यापन में कमी के कारण, हमलावर ajaxDeleteTheme() फ़ंक्शन में themeNameId पैरामीटर में मनमाना पथ (जैसे ../../../../wp-config.php) जोड़ सकते हैं। wp-config.php फ़ाइल को हटाने से वेबसाइट का संपूर्ण कॉन्फ़िगरेशन नष्ट हो सकता है, जिससे वेबसाइट अनुपयोगी हो जाएगी। सबसे खराब स्थिति में, हमलावर इस भेद्यता का उपयोग दूरस्थ कोड निष्पादित करने के लिए कर सकते हैं, जिससे उन्हें वेबसाइट पर पूर्ण नियंत्रण मिल सकता है और संवेदनशील डेटा चोरी हो सकता है। यह भेद्यता Log4Shell जैसी अन्य गंभीर भेद्यताओं के समान है, जहां एक साधारण इनपुट त्रुटि के कारण गंभीर परिणाम हो सकते हैं।
CVE-2025-6755 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसे भविष्य में शामिल किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (PoC) मौजूद हैं, जो भेद्यता के शोषण की संभावना को बढ़ाते हैं। सक्रिय शोषण अभियान की कोई पुष्टि नहीं है, लेकिन भेद्यता की आसानी से शोषण करने की क्षमता के कारण, यह संभव है कि हमलावर इसका फायदा उठा रहे हों। NVD और CISA ने 2025-06-28 को इस भेद्यता को प्रकाशित किया।
Websites using the Game Users Share Buttons plugin, particularly those running vulnerable versions (1.0.0–1.3.0), are at risk. Shared hosting environments where multiple WordPress sites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "ajaxDeleteTheme" /var/www/html/wp-content/plugins/game-users-share-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'game-users-share-buttons'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ajaxDeleteTheme&themeNameId=../../../../wp-config.php | grep -i '403 forbidden'disclosure
एक्सप्लॉइट स्थिति
EPSS
1.21% (79% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-6755 को कम करने के लिए, सबसे पहले Game Users Share Buttons प्लगइन को नवीनतम संस्करण में अपडेट करें जिसमें भेद्यता का समाधान शामिल है। यदि तत्काल अपडेट संभव नहीं है, तो प्लगइन को अस्थायी रूप से अक्षम करने पर विचार करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर करें ताकि ajaxDeleteTheme() फ़ंक्शन में अनपेक्षित फ़ाइल पथों को ब्लॉक किया जा सके। WordPress के फ़ाइल अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुंच प्राप्त हो। नियमित रूप से वेबसाइट की सुरक्षा स्कैनिंग करें ताकि भेद्यताओं का शीघ्र पता लगाया जा सके। अपडेट के बाद, जांचें कि प्लगइन ठीक से काम कर रहा है और कोई नई त्रुटि नहीं है।
Actualice el plugin Game Users Share Buttons a la última versión disponible, ya que las versiones posteriores a la 1.3.0 incluyen correcciones para esta vulnerabilidad. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-6755 Game Users Share Buttons प्लगइन में Arbitrary File Access भेद्यता है, जो हमलावरों को फ़ाइलों को हटाने की अनुमति देती है और संभावित रूप से दूरस्थ कोड निष्पादित करने की अनुमति देती है।
यदि आप Game Users Share Buttons प्लगइन के संस्करण 1.0.0 से 1.3.0 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Game Users Share Buttons प्लगइन को नवीनतम संस्करण में अपडेट करें या अस्थायी रूप से प्लगइन को अक्षम करें।
सक्रिय शोषण अभियान की कोई पुष्टि नहीं है, लेकिन भेद्यता की आसानी से शोषण करने की क्षमता के कारण, यह संभव है कि हमलावर इसका फायदा उठा रहे हों।
आधिकारिक सलाह के लिए WordPress वेबसाइट या प्लगइन डेवलपर की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।