प्लेटफ़ॉर्म
wordpress
घटक
the-events-calendar
में ठीक किया गया
6.15.18
CVE-2026-3585 The Events Calendar प्लगइन में एक पथ पारगमन भेद्यता है। यह भेद्यता प्रमाणित हमलावरों को सर्वर पर स्थित मनमानी फ़ाइलों को पढ़ने की अनुमति देती है, जिससे संवेदनशील जानकारी उजागर हो सकती है। यह भेद्यता The Events Calendar के संस्करण 0.0.0 से 6.15.17 तक के संस्करणों को प्रभावित करती है। संस्करण 6.15.17.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमानी फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे वे संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या स्रोत कोड तक पहुँच सकते हैं। हमलावर इस जानकारी का उपयोग सिस्टम को और अधिक समझौता करने, डेटा चोरी करने या सेवा से इनकार (DoS) करने के लिए कर सकते हैं। चूंकि भेद्यता प्रमाणित उपयोगकर्ताओं (Author स्तर या उससे ऊपर) को प्रभावित करती है, इसलिए आंतरिक खतरे का जोखिम भी है। इस भेद्यता का शोषण करने के लिए, हमलावर को 'ajaxcreateimport' फ़ंक्शन के माध्यम से एक विशेष रूप से तैयार किया गया अनुरोध भेजना होगा।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन भेद्यता की गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। भेद्यता की संभावना मध्यम है, क्योंकि इसके लिए प्रमाणित उपयोगकर्ता एक्सेस की आवश्यकता होती है, लेकिन संभावित प्रभाव उच्च है।
WordPress websites utilizing The Events Calendar plugin, particularly those with Author-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions and inadequate security practices are also at increased risk.
• wordpress / composer / npm: Use wp-cli plugin update to check the installed version of The Events Calendar.
wp plugin list --status=active | grep 'The Events Calendar'• generic web: Monitor web server access logs for requests to wp-content/plugins/the-events-calendar/ajaxcreateimport with unusual or potentially malicious file paths in the parameters.
grep 'ajax_create_import' /var/log/apache2/access.log• wordpress / composer / npm: Examine the the-events-calendar plugin files for any unauthorized modifications or backdoors.
find /var/www/html/wp-content/plugins/the-events-calendar -type f -mtime -7disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय The Events Calendar प्लगइन को संस्करण 6.15.17.1 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी उपाय के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल आवश्यक फ़ाइलों तक पहुँच को प्रतिबंधित करके हमले की सतह को कम किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, 'ajaxcreateimport' फ़ंक्शन के इनपुट को मान्य करने के लिए अतिरिक्त सुरक्षा परतें जोड़ी जा सकती हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए फ़ाइलों की अखंडता की जाँच करें कि शोषण सफल नहीं रहा।
संस्करण 6.15.17.1 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-3585 The Events Calendar प्लगइन में एक पथ पारगमन भेद्यता है जो प्रमाणित हमलावरों को मनमानी फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप The Events Calendar प्लगइन के संस्करण 0.0.0 से 6.15.17 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
The Events Calendar प्लगइन को संस्करण 6.15.17.1 या उच्चतर में अपडेट करें।
यह सार्वजनिक रूप से ज्ञात है और PoC मौजूद हो सकते हैं, इसलिए सक्रिय शोषण की संभावना है।
The Events Calendar वेबसाइट पर आधिकारिक सलाहकार देखें: [https://theeventscalendar.com/security/cve-2026-3585/](https://theeventscalendar.com/security/cve-2026-3585/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।