प्लेटफ़ॉर्म
wordpress
घटक
siteorigin-panels
में ठीक किया गया
2.33.6
CVE-2026-2448 SiteOrigin Page Builder प्लगइन में एक लोकल फ़ाइल इंक्लूज़न भेद्यता है, जो हमलावरों को मनमाने PHP कोड को निष्पादित करने की अनुमति देती है। यह भेद्यता SiteOrigin Page Builder के संस्करण 0.0.0 से 2.33.5 तक मौजूद है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील डेटा प्राप्त कर सकते हैं या सर्वर पर नियंत्रण हासिल कर सकते हैं। SiteOrigin ने इस समस्या को ठीक करने के लिए 2.34.0 संस्करण जारी किया है।
यह भेद्यता हमलावरों को SiteOrigin Page Builder प्लगइन के माध्यम से सर्वर पर मनमाने PHP कोड को निष्पादित करने की अनुमति देती है। हमलावर, कॉन्ट्रिब्यूटर स्तर या उससे ऊपर के एक्सेस के साथ, locate_template() फ़ंक्शन का उपयोग करके सर्वर पर मनमाने फ़ाइलों को शामिल कर सकते हैं। इसका उपयोग एक्सेस नियंत्रण को बायपास करने, संवेदनशील डेटा प्राप्त करने या ऐसे मामलों में कोड निष्पादित करने के लिए किया जा सकता है जहां छवियों और अन्य “सुरक्षित” फ़ाइल प्रकार अपलोड और शामिल किए जा सकते हैं। इस भेद्यता का फायदा उठाकर हमलावर सर्वर पर पूर्ण नियंत्रण हासिल कर सकते हैं, डेटा चोरी कर सकते हैं, या दुर्भावनापूर्ण कोड स्थापित कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को अपेक्षाकृत कम विशेषाधिकारों के साथ सर्वर पर नियंत्रण हासिल करने की अनुमति देती है।
CVE-2026-2448 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और आसानी से शोषण करने की क्षमता के कारण यह चिंता का विषय है। यह भेद्यता WordPress इकोसिस्टम में व्यापक रूप से उपयोग किए जाने वाले प्लगइन को प्रभावित करती है, जिससे इसका शोषण करने का अवसर बढ़ जाता है। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन इसकी पुष्टि नहीं हुई है।
WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.
• wordpress / composer / npm:
wp plugin list | grep 'Page Builder by SiteOrigin'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*• generic web: Check WordPress plugin directory for updated version and security advisories.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-2448 को कम करने के लिए, SiteOrigin Page Builder को संस्करण 2.34.0 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अनुमतियों को सख्त करना और locate_template() फ़ंक्शन के उपयोग को सीमित करना शामिल है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल इंक्लूज़न प्रयासों का पता लगाया जा सकता है और उन्हें अवरुद्ध किया जा सकता है। इसके अतिरिक्त, सर्वर लॉग की नियमित रूप से निगरानी करना और किसी भी संदिग्ध गतिविधि की जांच करना महत्वपूर्ण है। अपडेट करने के बाद, जांचें कि प्लगइन ठीक से काम कर रहा है और कोई नई त्रुटियां नहीं हैं।
संस्करण 2.34.0 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-2448 SiteOrigin Page Builder प्लगइन में एक लोकल फ़ाइल इंक्लूज़न भेद्यता है जो हमलावरों को मनमाने PHP कोड को निष्पादित करने की अनुमति देती है।
यदि आप SiteOrigin Page Builder के संस्करण 0.0.0 से 2.33.5 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
SiteOrigin Page Builder को संस्करण 2.34.0 या बाद के संस्करण में अपडेट करें।
CVE-2026-2448 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर के कारण यह चिंता का विषय है।
SiteOrigin की वेबसाइट पर आधिकारिक सलाहकार देखें: [https://siteorigin.com/security/](https://siteorigin.com/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।