प्लेटफ़ॉर्म
wordpress
घटक
advanced-members
में ठीक किया गया
1.2.6
1.2.6
Advanced Members for ACF वर्डप्रेस प्लगइन में पथ पारगम्यता (Path Traversal) भेद्यता पाई गई है। इस भेद्यता के कारण, प्रमाणित हमलावर, सब्सक्राइबर स्तर के एक्सेस या उससे ऊपर के साथ, सर्वर पर मनमाना फ़ाइलों को हटाने में सक्षम हो सकते हैं। यह भेद्यता संस्करण 1.2.5 और उससे पहले के संस्करणों को प्रभावित करती है, लेकिन संस्करण 1.2.6 में आंशिक रूप से ठीक कर दी गई है।
यह भेद्यता हमलावरों को सर्वर पर मनमाना फ़ाइलों को हटाने की अनुमति देती है। सबसे गंभीर परिदृश्य में, हमलावर wp-config.php जैसी महत्वपूर्ण फ़ाइल को हटा सकते हैं, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि हमलावर को केवल सब्सक्राइबर स्तर का एक्सेस होना चाहिए, जो कि अपेक्षाकृत कम विशेषाधिकार स्तर है। इस भेद्यता का शोषण करने के लिए, हमलावर को हटाने के लिए सही फ़ाइल का चयन करना होगा जो RCE को ट्रिगर करे। यह भेद्यता Log4Shell जैसी अन्य RCE भेद्यताओं के समान प्रभाव डाल सकती है, जहां फ़ाइल सिस्टम तक अनियंत्रित एक्सेस के माध्यम से कोड निष्पादन प्राप्त किया जा सकता है।
यह CVE 2026-04-07 को प्रकाशित किया गया था। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। भेद्यता का जोखिम मध्यम है, क्योंकि इसके लिए प्रमाणित एक्सेस की आवश्यकता होती है, लेकिन संभावित प्रभाव गंभीर है।
WordPress websites utilizing the Advanced Members for ACF plugin, particularly those running older versions (≤1.2.5) and those with Subscriber-level users or higher who have access to plugin functionality. Shared hosting environments where file permissions are not tightly controlled are also at increased risk.
• wordpress / plugin:
wp plugin listCheck if the Advanced Members for ACF plugin is installed and its version. If the version is ≤1.2.5, the system is vulnerable. • wordpress / plugin:
wp plugin update advanced-members-for-acfAttempt to update the plugin to the latest version (1.2.6 or later). • wordpress / file system: Inspect the WordPress file system for any unusual files or modifications, particularly in directories accessible to the WordPress user. • wordpress / plugin: Review the plugin's code for any instances of file path manipulation or validation that could be exploited.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.22% (45% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Advanced Members for ACF प्लगइन को संस्करण 1.2.6 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके फ़ाइल पथ सत्यापन को मजबूत किया जा सकता है। इसके अतिरिक्त, प्लगइन की फ़ाइलों तक एक्सेस को प्रतिबंधित करने के लिए फ़ाइल सिस्टम अनुमतियों को कड़ा करना भी मददगार हो सकता है। यह सुनिश्चित करें कि wp-config.php फ़ाइल को वेब रूट से बाहर रखा गया है और उचित अनुमतियों के साथ सुरक्षित है।
संस्करण 1.2.6 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-3243 Advanced Members for ACF वर्डप्रेस प्लगइन में एक पथ पारगम्यता भेद्यता है जो हमलावरों को मनमाना फ़ाइलें हटाने की अनुमति देती है।
यदि आप Advanced Members for ACF प्लगइन के संस्करण 1.2.5 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Advanced Members for ACF प्लगइन को संस्करण 1.2.6 में अपग्रेड करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
कृपया Advanced Members for ACF डेवलपर की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।