वर्डप्रेस WPLMS प्लगइन <= 1.9.9.5.4 - मनमाना फ़ाइल विलोपन भेद्यता

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल और अन्य संवेदनशील जानकारी शामिल हो सकती है। हमलावर इस जानकारी का उपयोग सिस्टम पर नियंत्रण हासिल करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकते हैं। पथ पारगमन भेद्यताएँ अक्सर सर्वर-साइड फ़ाइल सिस्टम तक अनधिकृत पहुँच प्राप्त करने के लिए उपयोग की जाती हैं, जिससे संभावित रूप से डेटा उल्लंघन और सिस्टम समझौता हो सकता है।

Websites using WPLMS plugin versions 0.0.0 through 1.9.9.5.4 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. WordPress sites with default or weak security settings are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/wplms/*

• generic web:

curl -I "http://your-wordpress-site.com/wp-content/plugins/wplms/path/to/file..%2e%2e/sensitive_file.txt"

1. 2026-01-22Disclosure

   disclosure

1. आरक्षित2025-12-29
2. प्रकाशित2026-01-22
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

WPLMS को संस्करण 1.9.9.5.4 से ऊपर के नवीनतम संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, WPLMS प्लगइन के लिए फ़ाइल एक्सेस प्रतिबंधों को लागू करने पर विचार करें। यह सुनिश्चित करें कि WPLMS प्लगइन द्वारा एक्सेस की जा सकने वाली फ़ाइलों को सीमित किया गया है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने के लिए नियम कॉन्फ़िगर करें।