द हैक रिपेयर गाइज़ प्लगइन आर्काइवर <= 2.0.4 - प्रमाणित (व्यवस्थापक+) मनमाना फ़ाइल विलोपन
प्लेटफ़ॉर्म
wordpress
घटक
hackrepair-plugin-archiver
में ठीक किया गया
2.0.5
CVE-2025-10176 WordPress के लिए The Hack Repair Guy's Plugin Archiver प्लगइन में Arbitrary File Access भेद्यता है. यह भेद्यता प्रमाणित हमलावरों को सर्वर पर मनमानी फ़ाइलों को हटाने की अनुमति देती है, जिससे संभावित रूप से रिमोट कोड निष्पादन हो सकता है. यह भेद्यता प्लगइन के संस्करण 0 से 2.0.4 तक प्रभावित करती है. सुरक्षा पैच जल्द ही जारी किया जाएगा.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावरों को WordPress इंस्टॉलेशन पर महत्वपूर्ण फ़ाइलों को हटाने की अनुमति देती है. सबसे गंभीर रूप से, wp-config.php फ़ाइल को हटाने से डेटाबेस कनेक्शन और अन्य महत्वपूर्ण कॉन्फ़िगरेशन जानकारी उजागर हो सकती है, जिससे हमलावर सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकते हैं. एक हमलावर इस भेद्यता का उपयोग सर्वर पर मनमाना कोड निष्पादित करने, संवेदनशील डेटा चुराने या वेबसाइट को पूरी तरह से समझौता करने के लिए कर सकता है. यह भेद्यता Log4Shell जैसी अन्य गंभीर भेद्यताओं के समान है, जहां एक साधारण क्रिया के माध्यम से गंभीर परिणाम हो सकते हैं.
शोषण संदर्भ
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं. CVE को CISA KEV सूची में जोड़ा गया है, जो भेद्यता के उच्च जोखिम को दर्शाता है. सक्रिय शोषण अभियान की जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है.
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites utilizing The Hack Repair Guy's Plugin Archiver plugin, particularly those with weak password policies or compromised administrator accounts, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r "prepare_items function" /var/www/html/wp-content/plugins/plugin-archiver/• wordpress / composer / npm:
wp plugin list --status=inactive | grep plugin-archiver• wordpress / composer / npm:
wp plugin list | grep plugin-archiver• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/plugin-archiver/ | grep -i 'wp-config.php'हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
1.03% (77% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 400आला
- प्लगइन रेटिंग
- 5.0
- WordPress आवश्यक
- 6.6+
- संगत संस्करण तक
- 6.8.5
- PHP आवश्यक
- 7.4+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
इस भेद्यता को कम करने के लिए, Plugin Archiver प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है. यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल पथ सत्यापन को मजबूत करने के लिए प्लगइन कोड में बदलाव करने पर विचार करें. इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइलों को हटाने के प्रयासों को ब्लॉक किया जा सकता है. यह सुनिश्चित करें कि WordPress इंस्टॉलेशन नवीनतम सुरक्षा पैच के साथ अपडेट किया गया है और मजबूत पासवर्ड का उपयोग किया गया है.
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin The Hack Repair Guy's Plugin Archiver a la última versión disponible para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Verifique que las actualizaciones automáticas de plugins estén habilitadas en WordPress o descargue la última versión desde el repositorio oficial de WordPress.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2025-10176 — Arbitrary File Access in Plugin Archiver क्या है?
CVE-2025-10176 WordPress के Plugin Archiver प्लगइन में एक भेद्यता है जो प्रमाणित हमलावरों को मनमानी फ़ाइलों को हटाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन हो सकता है.
क्या मैं CVE-2025-10176 में Plugin Archiver से प्रभावित हूं?
यदि आप Plugin Archiver प्लगइन के संस्करण 0 से 2.0.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं.
मैं CVE-2025-10176 में Plugin Archiver को कैसे ठीक करूं?
Plugin Archiver प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करें.
क्या CVE-2025-10176 सक्रिय रूप से शोषण किया जा रहा है?
CVE-2025-10176 के सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है.
मैं CVE-2025-10176 के लिए आधिकारिक Plugin Archiver सलाहकार कहां पा सकता हूं?
आधिकारिक सलाहकार के लिए Plugin Archiver वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जाँच करें.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।