Meta Box <= 5.11.1 - प्रमाणित (योगदानकर्ता+) मनमाना फ़ाइल विलोपन

यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलें हटाने की अनुमति देती है, जिससे गंभीर परिणाम हो सकते हैं। उदाहरण के लिए, यदि हमलावर wp-config.php फ़ाइल को हटा देता है, तो वे WordPress इंस्टॉलेशन पर पूर्ण नियंत्रण प्राप्त कर सकते हैं, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है। हमलावर संवेदनशील डेटा तक भी पहुंच सकते हैं और सर्वर पर अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। इस भेद्यता का शोषण करने के लिए हमलावरों को Contributor-स्तर या उससे ऊपर की पहुंच की आवश्यकता होती है।

WordPress sites utilizing the Meta Box plugin, particularly those with a large number of users with Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites relying on older, unpatched versions of Meta Box are most exposed.

• wordpress / composer / npm:

wp plugin list --status=active | grep 'Meta Box'

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

wp plugin status meta-box-plugin

• wordpress / composer / npm:

find /var/www/html/wp-content/plugins/meta-box/ -type f -name '*delete.php*'

1. 2026-04-13Disclosure

   disclosure

1. प्रकाशित2026-04-13
2. संशोधित2026-04-21

CVE-2026-39468 को कम करने के लिए, Meta Box प्लगइन को तुरंत संस्करण 5.11.2 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करके अनधिकृत फ़ाइल एक्सेस को सीमित करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके संदिग्ध अनुरोधों को ब्लॉक करें। WordPress सुरक्षा प्लगइन का उपयोग करके फ़ाइल अखंडता की निगरानी करें।