प्लेटफ़ॉर्म
wordpress
घटक
user-meta
में ठीक किया गया
3.1.3
User Meta – User Profile Builder और User management प्लगइन में Arbitrary File Access भेद्यता पाई गई है। यह भेद्यता हमलावरों को सर्वर पर स्थित फ़ाइलों को हटाने की अनुमति देती है, जिससे संभावित रूप से रिमोट कोड एग्जीक्यूशन हो सकता है। यह भेद्यता WordPress के संस्करण 0.0.0 से 3.1.2 तक के संस्करणों को प्रभावित करती है। संस्करण 3.1.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों के लिए बेहद खतरनाक है क्योंकि वे सर्वर पर स्थित किसी भी फ़ाइल को हटाने में सक्षम हो सकते हैं। यदि हमलावर wp-config.php जैसी महत्वपूर्ण फ़ाइल को हटा देता है, तो वे आसानी से रिमोट कोड एग्जीक्यूशन प्राप्त कर सकते हैं और सर्वर पर पूर्ण नियंत्रण हासिल कर सकते हैं। इससे संवेदनशील डेटा का नुकसान, वेबसाइट का समझौता और अन्य गंभीर परिणाम हो सकते हैं। इस भेद्यता का फायदा उठाने के लिए हमलावरों को Subscriber-लेवल एक्सेस या उससे ऊपर की आवश्यकता होती है। यह भेद्यता WordPress वेबसाइटों के लिए एक गंभीर खतरा है, खासकर उन वेबसाइटों के लिए जिनमें संवेदनशील डेटा संग्रहीत है।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है, लेकिन इसका EPSS स्कोर मध्यम है, जो सार्वजनिक शोषण की संभावना को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता 2025-09-11 को प्रकाशित की गई थी।
WordPress websites utilizing the User Meta – User Profile Builder and User management plugin, particularly those with Subscriber-level users or higher who have access to user management functionalities, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as are WordPress installations with outdated plugins and weak security configurations.
• wordpress / plugin:
wp plugin list --status=inactive | grep 'user-meta'• wordpress / plugin:
wp plugin update --all• wordpress / server:
find /var/www/html/wp-content/plugins/user-meta/ -type f -name '*.php' -print0 | xargs -0 grep -i 'postInsertUserProcess'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/user-meta/ | grep 'Server'disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तुरंत प्लगइन को संस्करण 3.1.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर करें। इसके अतिरिक्त, wp-config.php जैसी महत्वपूर्ण फ़ाइलों के लिए फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही उन तक पहुंच हो। नियमित रूप से लॉग की निगरानी करें और किसी भी असामान्य गतिविधि की जांच करें जो इस भेद्यता के शोषण का संकेत दे सकती है।
Actualice el plugin User Meta – User Profile Builder and User management plugin a la versión 3.1.3 o superior para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes autenticados eliminen archivos sensibles en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-9693 User Meta – User Profile Builder और User management प्लगइन में Arbitrary File Access भेद्यता है, जो हमलावरों को सर्वर पर फ़ाइलों को हटाने की अनुमति देती है।
यदि आप WordPress के User Meta – User Profile Builder और User management प्लगइन के संस्करण 0.0.0 से 3.1.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
प्लगइन को तुरंत संस्करण 3.1.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों को कॉन्फ़िगर करें और फ़ाइल सिस्टम अनुमतियों को सख्त करें।
हालांकि सार्वजनिक POC ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
आधिकारिक सलाह के लिए WordPress सुरक्षा टीम की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।