प्लेटफ़ॉर्म
wordpress
घटक
drag-and-drop-multiple-file-upload-contact-form-7
में ठीक किया गया
1.3.10
1.3.9.7
Drag and Drop Multiple File Upload for Contact Form 7 प्लगइन में एक पथ पारगमन भेद्यता पाई गई है। यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलें पढ़ने की अनुमति दे सकती है। यह भेद्यता WordPress के संस्करण 1.3.9.6 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन के संस्करण 1.3.9.7 में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस बैकअप, या अन्य गोपनीय डेटा। हमलावर सर्वर पर मनमाने कोड को भी निष्पादित करने के लिए इस भेद्यता का उपयोग कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल अपलोड करनी होगी जिसमें पथ पारगमन वर्ण शामिल हैं, जैसे कि ../। यह हमलावर को फ़ाइल सिस्टम में किसी भी स्थान पर फ़ाइलें पढ़ने की अनुमति देगा। इस भेद्यता का प्रभाव गंभीर है, क्योंकि यह हमलावरों को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल नहीं किया है। NVD में प्रकाशन तिथि 2026-04-17 है।
एक्सप्लॉइट स्थिति
EPSS
0.14% (34% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, प्लगइन को संस्करण 1.3.9.7 में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अपलोड फ़ाइलों को फ़िल्टर कर सकते हैं ताकि पथ पारगमन वर्णों को ब्लॉक किया जा सके। इसके अतिरिक्त, आप सर्वर पर फ़ाइल अनुमतियों को सख्त कर सकते हैं ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुंचने की अनुमति मिल सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, अपलोड फ़ंक्शन का परीक्षण करें और सुनिश्चित करें कि पथ पारगमन वर्णों का उपयोग करके फ़ाइलें नहीं पढ़ी जा सकती हैं।
1.3.9.7 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5710 WordPress के Drag and Drop Multiple File Upload प्लगइन में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलें पढ़ने की अनुमति देती है।
यदि आप Drag and Drop Multiple File Upload प्लगइन के संस्करण 1.3.9.6 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
प्लगइन को संस्करण 1.3.9.7 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF का उपयोग करके अपलोड फ़ाइलों को फ़िल्टर करें।
इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है।
कृपया प्लगइन डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।