वर्डप्रेस (WordPress) के लिए WP Job Portal प्लगइन (plugin) सभी वर्जन (version) 2.4.9 तक और सहित में 'WPJOBPORTALcustomfields::removeFileCustom' फंक्शन (function) में अपर्याप्त फाइल (file) पाथ (path) वैलिडेशन (validation) के कारण मनमाना फाइल (file) हटाने के लिए असुरक्षित है। यह प्रमाणित हमलावरों के लिए, सब्सक्राइबर (Subscriber)-स्तर के एक्सेस (access) और उससे ऊपर के साथ, सर्वर (server) पर मनमानी फाइल (file) को हटाना संभव बनाता है, जो सही फाइल (file) (जैसे wp-config.php) को हटाए जाने पर आसानी से रिमोट कोड एक्जीक्यूशन (remote code execution) का कारण बन सकता है।

WordPress के WP Job Portal प्लगइन में एक गंभीर भेद्यता है, जिसे CVE-2026-4758 के रूप में पहचाना गया है। यह WPJOBPORTALcustomfields::removeFileCustom फ़ंक्शन में अपर्याप्त फ़ाइल पथ सत्यापन के कारण हमलावरों को सर्वर पर मनमाना फ़ाइलों को हटाने की अनुमति देता है। यदि wp-config.php जैसी महत्वपूर्ण फ़ाइलें हटा दी जाती हैं, तो यह रिमोट कोड निष्पादन (RCE) का कारण बन सकता है। यह भेद्यता 2.4.9 और उससे पहले के सभी संस्करणों को प्रभावित करती है, इसलिए जोखिम को कम करने के लिए तत्काल कार्रवाई करना आवश्यक है। वेबसाइट के पूरी तरह से समझौता होने की संभावना बहुत अधिक है, जो इस मुद्दे की गंभीरता को उजागर करती है।

1. आरक्षित2026-03-24
2. प्रकाशित2026-03-25
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-02

CVE-2026-4758 के लिए प्राथमिक शमन WP Job Portal प्लगइन को संस्करण 2.5.0 या उच्चतर में अपडेट करना है। इस संस्करण में फ़ाइल पथ सत्यापन के लिए एक फिक्स शामिल है, जो अनधिकृत फ़ाइल हटाने को रोकता है। एक अस्थायी उपाय के रूप में, संवेदनशील कार्यों को करने की उनकी क्षमता को सीमित करने के लिए सब्सक्राइबर भूमिकाओं वाले उपयोगकर्ताओं के विशेषाधिकारों को प्रतिबंधित करने की सिफारिश की जाती है। संदिग्ध गतिविधि के लिए सर्वर लॉग की नियमित रूप से निगरानी करने से संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने में भी मदद मिल सकती है। इस भेद्यता को संबोधित करने का सबसे प्रभावी और अनुशंसित समाधान प्लगइन को अपडेट करना है।

सक्रिय इंस्टॉलेशन

8Kज्ञात

प्लगइन रेटिंग