प्लेटफ़ॉर्म
wordpress
घटक
assistant-for-nextgen-gallery
में ठीक किया गया
1.0.10
WordPress प्लगइन Assistant for NextGEN Gallery में एक गंभीर भेद्यता पाई गई है. यह भेद्यता मनमाने ढंग से निर्देशिकाओं को हटाने की अनुमति देती है, जिससे वेबसाइट की उपलब्धता खतरे में पड़ सकती है. यह भेद्यता संस्करण 1.0.0 से लेकर 1.0.9 तक के सभी संस्करणों को प्रभावित करती है. इस समस्या को हल करने के लिए प्लगइन को नवीनतम संस्करण में अपडेट करना आवश्यक है.
CVE-2025-7641 एक गंभीर भेद्यता है जो हमलावरों को WordPress वेबसाइट पर मनमाने ढंग से निर्देशिकाओं को हटाने की अनुमति देती है. यह वेबसाइट की पूरी तरह से अनुपलब्धता का कारण बन सकता है, जिससे डेटा हानि और सेवा व्यवधान हो सकता है. हमलावर /wp-json/nextgenassistant/v1.0.0/control REST endpoint का उपयोग करके असुरक्षित फ़ाइल पथ सत्यापन का फायदा उठा सकते हैं. इस भेद्यता का फायदा उठाने के लिए हमलावर को प्रमाणित होने की आवश्यकता नहीं है, जिससे यह और भी खतरनाक हो जाती है. इस भेद्यता का शोषण करने से वेबसाइट की महत्वपूर्ण फ़ाइलों को हटाया जा सकता है, जिससे वेबसाइट पूरी तरह से बेकार हो सकती है.
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसकी उच्च संभावना है क्योंकि यह मनमाने ढंग से फ़ाइल हटाने की अनुमति देती है. सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, जल्द ही PoC जारी होने की संभावना है. NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है.
Websites utilizing the Assistant for NextGEN Gallery plugin, particularly those running older, unpatched versions (1.0.0–1.0.9), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak WordPress security configurations or inadequate firewall protection are also at increased risk.
• wordpress / composer / npm:
grep -r 'nextgenassistant/v1.0.0/control' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-json/nextgenassistant/v1.0.0/controlCheck the response headers for any unusual or unexpected behavior. • wordpress / composer / npm:
wp plugin list | grep nextgenassistantVerify the installed version is patched. • wordpress / composer / npm:
wp plugin auto-update nextgenassistantAttempt to automatically update the plugin to the latest version.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (33% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-7641 के प्रभाव को कम करने के लिए, सबसे पहले Assistant for NextGEN Gallery प्लगइन को नवीनतम संस्करण में अपडेट करें. यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /wp-json/nextgenassistant/v1.0.0/control endpoint को ब्लॉक करें. इसके अतिरिक्त, फ़ाइल पथ सत्यापन को मजबूत करने के लिए WordPress कोर फ़ाइलों में सुरक्षा पैच लागू करने पर विचार करें. नियमित रूप से वेबसाइट की सुरक्षा ऑडिट करें और किसी भी संदिग्ध गतिविधि की निगरानी करें. अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के फ़ाइल सिस्टम की जांच करें.
Actualice el plugin Assistant for NextGEN Gallery a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de directorios. Verifique la página de plugins de WordPress para obtener la actualización más reciente. Considere implementar medidas de seguridad adicionales, como limitar los permisos de los usuarios y monitorear la actividad del servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-7641 WordPress प्लगइन Assistant for NextGEN Gallery में एक भेद्यता है जो हमलावरों को असुरक्षित फ़ाइल पथ सत्यापन के कारण सर्वर पर मनमाने ढंग से निर्देशिकाओं को हटाने की अनुमति देती है.
यदि आप Assistant for NextGEN Gallery प्लगइन के संस्करण 1.0.0 से 1.0.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं.
CVE-2025-7641 को ठीक करने के लिए, Assistant for NextGEN Gallery प्लगइन को नवीनतम संस्करण में अपडेट करें.
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, जल्द ही शोषण होने की संभावना है.
कृपया Assistant for NextGEN Gallery की आधिकारिक वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर जाएं.
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।