WordPress Instant VA थीम <= 1.0.1 - मनमाना फ़ाइल विलोपन भेद्यता

यह पथ पारगमन भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर वेब रूट निर्देशिका के बाहर स्थित फ़ाइलों को पढ़ सकते हैं, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य संवेदनशील डेटा शामिल हो सकते हैं। यह जानकारी का खुलासा, सिस्टम में छेड़छाड़ या यहां तक ​​कि सर्वर पर कोड निष्पादित करने की ओर ले जा सकता है। इस भेद्यता का उपयोग अन्य भेद्यताओं का फायदा उठाने के लिए भी किया जा सकता है, जिससे हमलावर सिस्टम पर अधिक नियंत्रण प्राप्त कर सकते हैं।

WordPress websites using the Instant VA plugin, particularly those running older versions (0.0.0 - 1.0.1), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/instantva/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/instantva/../../../../etc/passwd' # Check for file disclosure

1. 2026-03-25Disclosure

   disclosure

1. आरक्षित2026-01-28
2. प्रकाशित2026-03-25
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-04-02

Instant VA को संस्करण 1.0.2 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, फ़ाइल एक्सेस अनुमतियों को सख्त किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँचने की अनुमति हो।