प्लेटफ़ॉर्म
wordpress
घटक
wp-downloadmanager
में ठीक किया गया
1.69.1
CVE-2026-2419 WP-DownloadManager प्लगइन में एक पथ पारगमन भेद्यता है। यह भेद्यता प्रमाणीकृत हमलावरों को सर्वर पर मनमानी फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता WP-DownloadManager के संस्करण 0.0.0 से 1.69 तक के संस्करणों को प्रभावित करती है। संस्करण 1.69.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को WP-DownloadManager प्लगइन के माध्यम से सर्वर पर मनमानी फ़ाइलों तक पहुँचने की अनुमति देती है। चूंकि भेद्यता के लिए व्यवस्थापक-स्तरीय पहुँच की आवश्यकता होती है, इसलिए इसका प्रभाव सीमित है, लेकिन फिर भी यह संवेदनशील डेटा के प्रकटीकरण का कारण बन सकता है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य संवेदनशील जानकारी तक पहुँच सकते हैं जो सर्वर पर संग्रहीत हैं। इस भेद्यता का शोषण करने के लिए, एक हमलावर को पहले प्लगइन में प्रमाणीकृत होना होगा। फिर वे 'download_path' कॉन्फ़िगरेशन पैरामीटर को एक पथ पारगमन अनुक्रम के साथ बदलकर फ़ाइल ब्राउज़र कार्यक्षमता का शोषण कर सकते हैं।
CVE-2026-2419 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन पथ पारगमन भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2026-02-18 को प्रकाशित हुई थी।
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-2419 को कम करने के लिए, WP-DownloadManager प्लगइन को संस्करण 1.69.1 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, 'downloadpath' कॉन्फ़िगरेशन पैरामीटर के लिए इनपुट सत्यापन को मजबूत करने पर विचार करें। सुनिश्चित करें कि डाउनलोड पथ WPCONTENT_DIR उपसर्ग के बाहर नहीं जाता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करने से भी पथ पारगमन हमलों को रोकने में मदद मिल सकती है। प्लगइन फ़ाइलों में किसी भी अनधिकृत परिवर्तन की निगरानी के लिए नियमित सुरक्षा ऑडिट करें। अपडेट के बाद, फ़ाइल ब्राउज़र कार्यक्षमता का परीक्षण करके पुष्टि करें कि भेद्यता का समाधान हो गया है।
1.69.1 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-2419 WP-DownloadManager प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को सर्वर पर मनमानी फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप WP-DownloadManager के संस्करण 0.0.0 से 1.69 चला रहे हैं, तो आप प्रभावित हैं।
WP-DownloadManager प्लगइन को संस्करण 1.69.1 में अपडेट करें।
CVE-2026-2419 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसका शोषण किया जा सकता है।
कृपया WP-DownloadManager वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।