प्लेटफ़ॉर्म
wordpress
घटक
extensions-for-cf7
में ठीक किया गया
3.2.9
Extensions For CF7 (Contact form 7 Database, Conditional Fields and Redirection) नामक WordPress प्लगइन में एक गंभीर भेद्यता पाई गई है। यह भेद्यता अनधिकृत फ़ाइल एक्सेस की अनुमति देती है, जिससे हमलावर सर्वर पर मौजूद महत्वपूर्ण फ़ाइलों को हटा सकते हैं। प्रभावित संस्करण 0.0.0 से 3.2.8 तक हैं। इस समस्या का समाधान 3.2.9 संस्करण में जारी किया गया है।
यह भेद्यता हमलावरों को सर्वर पर अनधिकृत फ़ाइलें हटाने की अनुमति देती है, जिससे गंभीर परिणाम हो सकते हैं। उदाहरण के लिए, यदि हमलावर wp-config.php फ़ाइल को हटा देता है, तो वे WordPress इंस्टॉलेशन पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। इसके अतिरिक्त, वे अन्य महत्वपूर्ण फ़ाइलों को हटाकर सर्वर को अस्थिर कर सकते हैं या डेटा चोरी कर सकते हैं। इस भेद्यता का फायदा उठाकर हमलावर रिमोट कोड भी निष्पादित कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह बिना प्रमाणीकरण के हमलावरों को फ़ाइलों को हटाने की अनुमति देती है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसके लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (POC) मौजूद हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए भविष्य में ऐसा हो सकता है। हमलावरों द्वारा इसका सक्रिय रूप से शोषण किए जाने की संभावना मध्यम है।
WordPress websites utilizing the Extensions For CF7 plugin, particularly those running older versions (0.0.0–3.2.8), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites with weak server configurations or inadequate access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'delete-file' /var/www/html/wp-content/plugins/extensions-for-cf7/• wordpress / composer / npm:
wp plugin list | grep 'Extensions For CF7'• wordpress / composer / npm:
wp plugin update extensions-for-cf7 --version=3.2.9• generic web: Check WordPress plugin directory for outdated versions of Extensions For CF7.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.55% (68% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-7645 के प्रभाव को कम करने के लिए, सबसे पहले प्लगइन को 3.2.9 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'delete-file' पैरामीटर के माध्यम से फ़ाइल हटाने के अनुरोधों को ब्लॉक करें। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं को ही महत्वपूर्ण फ़ाइलों तक पहुंच प्राप्त हो। नियमित रूप से लॉग की निगरानी करें और किसी भी संदिग्ध गतिविधि की जांच करें।
Actualice el plugin Extensions For CF7 a la versión 3.2.9 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de la ruta del archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-7645 WordPress प्लगइन Extensions For CF7 में एक भेद्यता है जो हमलावरों को सर्वर पर फ़ाइलों को हटाने की अनुमति देती है।
यदि आप Extensions For CF7 प्लगइन के संस्करण 0.0.0 से 3.2.8 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
प्लगइन को 3.2.9 या बाद के संस्करण में अपडेट करें।
CVE-2025-7645 के लिए सार्वजनिक POC मौजूद हैं, इसलिए सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए Extensions For CF7 वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।