तात्कालिक: गोज़ा थीम (≤ 3.2.2) — बिना प्रमाणीकरण के मनमाने फ़ाइल हटाने (CVE-2025-10134) — विश्लेषण और व्यावहारिक शमन

TL;DR
गोज़ा वर्डप्रेस थीम (संस्करण 3.2.2 तक) में एक गंभीर सुरक्षा दोष है जो बिना प्रमाणीकरण वाले हमलावरों को कमजोर साइटों पर फ़ाइलें हटाने की अनुमति देता है। इसे उच्च CVSS (8.6) के साथ CVE-2025-10134 सौंपा गया है। तुरंत गोज़ा 3.2.3 या बाद के संस्करण में अपडेट करें। यदि आप तुरंत पैच नहीं कर सकते हैं, तो जोखिम को कम करने के लिए नीचे दिए गए तात्कालिक शमन और आभासी पैच लागू करें।.

एक हांगकांग सुरक्षा विशेषज्ञ के रूप में, जिसके पास घटना प्रतिक्रिया और वेब प्लेटफार्मों को मजबूत करने का अनुभव है, मैं साइट मालिकों, डेवलपर्स और घटना प्रतिक्रिया करने वालों को जोखिम को समझने, शोषण का पता लगाने और तात्कालिक और दीर्घकालिक नियंत्रण लागू करने में मदद करने के लिए एक संक्षिप्त, व्यावहारिक सलाह प्रस्तुत करता हूँ।.

यह क्यों महत्वपूर्ण है

• यह दोष बिना प्रमाणीकरण के फ़ाइलों को हटाने की अनुमति देता है — लॉगिन की आवश्यकता नहीं है — जिससे बड़े पैमाने पर स्वचालित शोषण संभव हो जाता है।.
• मनमाने फ़ाइल हटाने से साइटें तुरंत टूट सकती हैं, यदि सर्वर अनुमतियाँ अनुमति देती हैं तो टेम्पलेट, फ़ंक्शन, प्लगइन फ़ाइलें, या यहां तक कि महत्वपूर्ण कोर फ़ाइलें भी हटा दी जा सकती हैं।.
• हमलावर हटाने को बाद के स्थायी तंत्र (वेब शेल, बैकडोर), जबरन वसूली, या विकृति के साथ जोड़ सकते हैं।.
• यह एक प्राधिकरण/मान्यता विफलता है: अनुमति जांचों की कमी और फ़ाइल-पथ मान्यता की अपर्याप्तता।.

इसे उच्च प्राथमिकता वाले पैच के रूप में मानें और तुरंत प्रतिक्रिया दें।.

जो हम जानते हैं (खुलासे का सारांश)

• प्रभावित सॉफ़्टवेयर: गोज़ा वर्डप्रेस थीम
• कमजोर संस्करण: 3.2.2 और पहले
• ठीक किया गया: 3.2.3
• सुरक्षा दोष का प्रकार: मनमाने फ़ाइल हटाने की ओर ले जाने वाली अनुमति की कमी
• CVE: CVE-2025-10134
• आवश्यक विशेषाधिकार: कोई नहीं (बिना प्रमाणीकरण)
• गंभीरता: उच्च (CVSS 8.6)
• रिपोर्ट किया गया: सितंबर 2025

यह सलाह शोषण कोड को पुन: उत्पन्न करने से बचती है और रक्षात्मक और जांचात्मक कार्यों पर ध्यान केंद्रित करती है।.

उच्च-स्तरीय हमले का प्रवाह (संभावित शोषण पथ)

1. खोज: हमलावर फिंगरप्रिंटिंग के माध्यम से गोज़ा थीम का उपयोग करने वाली साइटों की पहचान करता है।.
2. प्रॉब: स्वचालित उपकरण थीम एंडपॉइंट्स और पैरामीटर को स्कैन करते हैं ताकि डिलीशन हैंडलर्स को ढूंढा जा सके।.
3. शोषण: एक तैयार किया गया HTTP अनुरोध एक फ़ाइल-हटाने वाले कोड पथ को सक्रिय करता है जिसमें प्राधिकरण और उचित पथ मान्यता की कमी होती है।.
4. परिणाम: फ़ाइलें हटा दी जाती हैं; हमलावर महत्वपूर्ण टेम्पलेट्स या कॉन्फ़िगरेशन फ़ाइलों को हटाने के लिए बढ़ा सकता है।.
5. फॉलो-अप: हमलावर शेल अपलोड कर सकते हैं, स्थिरता बना सकते हैं, या साइट के मालिक को ब्लैकमेल कर सकते हैं।.

तात्कालिक कार्रवाई (साइट के मालिक और प्रशासक)

1. थीम को अभी अपडेट करें
   • गोज़ा को तुरंत संस्करण 3.2.3 या बाद के संस्करण में अपडेट करें। यह पूर्ण समाधान है।.
   • यदि आपके पास जटिल अनुकूलन हैं तो स्टेजिंग पर परीक्षण करें, लेकिन उत्पादन पर पैच लागू करने को प्राथमिकता दें जब भी संभव हो।.
2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अस्थायी रूप से थीम को अक्षम करें या स्विच करें
   • एक डिफ़ॉल्ट वर्डप्रेस थीम या किसी अन्य रखरखाव की गई थीम को सक्रिय करने से कमजोर कोड पथ हटा दिया जाता है।.
   • यदि साइट की संरचना के कारण स्विच करना संभव नहीं है, तो नीचे दिए गए अन्य अस्थायी उपाय लागू करें।.
3. अल्पकालिक आभासी पैच / WAF नियम लागू करें
   • थीम एंडपॉइंट्स और पैरामीटर को लक्षित करने वाले संदिग्ध अनुरोधों को ब्लॉक करें जो फ़ाइल-हटाने के संचालन के समान हैं (देखें “आभासी पैचिंग” अनुभाग)।.
   • यदि आप एक प्रबंधित सुरक्षा सेवा का उपयोग करते हैं, तो अपडेट करने तक बिना प्रमाणीकरण वाले विनाशकारी कार्यों के लिए विक्रेता द्वारा प्रदान किए गए आभासी पैचिंग नियम सक्षम करें।.
4. फ़ाइल अनुमतियों को लॉक करें
   • सुनिश्चित करें कि वेब सर्वर उपयोगकर्ता के पास न्यूनतम आवश्यक लेखन पहुंच है। आदर्श रूप से, लेखन अनुमतियों को wp-content/uploads और केवल उन थीम/प्लगइन निर्देशिकाओं तक सीमित करें जिन्हें लिखने योग्य होना चाहिए।.
   • जहां संभव हो, प्रतिबंधात्मक फ़ाइल/निर्देशिका अनुमतियाँ सेट करें (संवेदनशील फ़ाइलों के लिए केवल मालिक लेखन)।.
5. अभी एक बैकअप लें
   • कॉन्फ़िगरेशन बदलने या सुधार लागू करने से पहले एक पूर्ण फ़ाइल और डेटाबेस बैकअप बनाएं। प्रारंभिक स्नैपशॉट पुनर्प्राप्ति और फोरेंसिक कार्य में सहायता करते हैं।.
6. लॉग की निगरानी करें
   • वेब सर्वर, एप्लिकेशन और किसी भी WAF लॉग को संरक्षित करें। संदिग्ध अनुरोधों और पैटर्न की तलाश करें जो IoC अनुभाग में वर्णित हैं।.
7. समझौते के लिए स्कैन करें
   • गायब/संशोधित थीम फ़ाइलों, अप्रत्याशित PHP फ़ाइलों, नए प्रशासनिक उपयोगकर्ताओं, या निर्धारित कार्यों के लिए जांचें। यदि आप विसंगतियाँ पाते हैं, तो उन्हें अलग करें और घटना प्रतिक्रिया प्रक्रियाओं का पालन करें।.

वर्चुअल पैचिंग / WAF शमन (रक्षात्मक पैटर्न)

वर्चुअल पैचिंग जोखिम को कम करता है जबकि आप विक्रेता अपडेट का परीक्षण और लागू करते हैं। ये रक्षात्मक पैटर्न हैं जिन्हें आप वेब सर्वर, WAF, या एप्लिकेशन परत पर लागू कर सकते हैं। ये आधिकारिक पैच का विकल्प नहीं हैं।.

• विनाशकारी क्रियाओं का प्रयास करने वाले अनधिकृत अनुरोधों को ब्लॉक करें:
  • उन अनुरोधों को ब्लॉक करने पर विचार करें जिनमें “delete”, “remove”, “unlink”, “file”, या “path” जैसे पैरामीटर शामिल हैं जो थीम निर्देशिकाओं की ओर निर्देशित हैं जब कोई मान्य प्रमाणीकरण टोकन या नॉनस मौजूद नहीं है।.
• थीम शामिल फ़ाइलों की सुरक्षा करें:
  • उन PHP फ़ाइलों के लिए HTTP 403 लौटाएँ जो शामिल करने के लिए निर्धारित हैं (जैसे, थीम/inc या थीम/includes के तहत फ़ाइलें)।.
• HTTP विधियों को सीमित करें:
  • DELETE अनुरोधों की अनुमति न दें और गैर-GET विधियों को प्रतिबंधित करें जब तक कि स्पष्ट रूप से आवश्यक और प्रमाणित न हो।.
• पथ यात्रा और पूर्ण पथ प्रयासों को ब्लॉक करें:
  • अनुरोध पैरामीटर में “ ../”, “/etc/”, “/var/”, या अन्य पूर्ण प्रणाली पथों को शामिल करने वाले पैरामीटर को ब्लॉक करें।.
• नॉनस और सत्र जांच को लागू करें:
  • किसी भी स्थिति-परिवर्तन करने वाले एंडपॉइंट के लिए मान्य वर्डप्रेस नॉनस या सत्र कुकीज़ की आवश्यकता करें।.

पहले गलत सकारात्मक को रोकने के लिए नियमों को सतर्कता से डिज़ाइन करें। अवरुद्ध ट्रैफ़िक की निगरानी करें और नियमों को क्रमिक रूप से समायोजित करें। स्तरित नियंत्रणों का उपयोग करें: वर्चुअल पैचिंग, अनुमति सख्ती, निगरानी और बैकअप।.

समझौते के संकेत (IoCs) और क्या देखना है

• गायब या संशोधित थीम फ़ाइलें - वर्तमान फ़ाइलों की तुलना एक साफ़ थीम पैकेज से करें।.
• संदिग्ध अनुरोधों के तुरंत बाद अचानक 404 या टूटे हुए पृष्ठ।.
• वेब सर्वर लॉग जो थीम एंडपॉइंट्स पर अनधिकृत अनुरोध दिखाते हैं उसके बाद 200/204 प्रतिक्रियाएँ; क्वेरी स्ट्रिंग्स में फ़ाइल नाम या पथ-समान मान शामिल हैं।.
• समान IPs से बार-बार अनुरोध या स्कैनिंग व्यवहार (उच्च-आवृत्ति समान अनुरोध)।.
• अपलोड या थीम निर्देशिकाओं में अप्रत्याशित PHP फ़ाइलें।.
• नए प्रशासनिक उपयोगकर्ता, संशोधित wp_options, या अन्य डेटाबेस विसंगतियाँ जो स्थायी प्रयासों को इंगित करती हैं।.

फोरेंसिक विश्लेषण के लिए लॉग और कलाकृतियों को संरक्षित करें। यदि आप शोषण की पुष्टि करते हैं, तो नीचे दिए गए घटना प्रतिक्रिया प्लेबुक का पालन करें।.

घटना प्रतिक्रिया प्लेबुक: चरण-दर-चरण

1. साक्ष्य को संरक्षित करें
   • वेब सर्वर, WAF और एप्लिकेशन लॉग की कॉपी करें और संरक्षित करें, और डेटाबेस स्नैपशॉट लें। मूल लॉग को संशोधित करने से बचें।.
2. साइट को अलग करें
   • चल रहे शोषण को रोकने के लिए साइट को ऑफलाइन लेने या ट्रैफ़िक को ब्लॉक करने पर विचार करें।.
3. नुकसान की पुष्टि करें
   • पहचानें कि कौन से फ़ाइलें गायब हैं या परिवर्तित हैं। छेड़े गए फ़ाइलों की पहचान करने और तुलना करने के लिए एक साफ़ थीम पैकेज का उपयोग करें।.
   • स्थिरता के लिए जांचें (वेब शेल, क्रॉन जॉब, नए प्रशासनिक खाते)।.
4. पुनर्स्थापित करें
   • यदि संभव हो तो पहले एक स्टेजिंग वातावरण में एक साफ़ बैकअप से पुनर्स्थापित करें। यदि उपलब्ध नहीं है, तो ठीक की गई थीम संस्करण (3.2.3+) को फिर से स्थापित करें और DB बैकअप से सामग्री को पुनर्स्थापित करें।.
5. पैच और मजबूत करें
   • थीम को 3.2.3 या बाद के संस्करण में अपडेट करें, मजबूत प्रशासनिक क्रेडेंशियल लागू करें, विशेषाधिकार प्राप्त खातों के लिए MFA सक्षम करें, और फ़ाइल अनुमतियों को कड़ा करें।.
6. घटना के बाद की निगरानी
   • पुनरावृत्त प्रयासों के लिए लॉग की निगरानी करें और शेष स्थिरता के लिए स्कैन करें।.
7. मूल कारण विश्लेषण
   • दस्तावेज़ करें कि समझौता कैसे हुआ और पुनरावृत्ति को रोकने के लिए सुरक्षित विकास और तैनाती प्रथाओं में सुधार करें।.

डेवलपर मार्गदर्शन: समान समस्याओं को रोकना

यदि आप थीम या प्लगइन्स का रखरखाव करते हैं, तो प्राधिकरण से संबंधित फ़ाइल-हटाने की बग से बचने के लिए इन सुरक्षित कोडिंग प्रथाओं को अपनाएं।.

• हमेशा प्राधिकरण की जांच करें स्थिति-परिवर्तन करने वाली क्रियाओं से पहले। current_user_can() और क्षमता जांच का उपयोग करें।.
• नॉनसेस लागू करें उन प्रशासनिक-एजेक्स और REST एंडपॉइंट्स के लिए जो स्थिति बदलते हैं।.
• फ़ाइल पथ को साफ़ करें और मान्य करें:
  • उपयोगकर्ता इनपुट से कच्चे फ़ाइल पथ को अस्वीकार करें। सुरक्षित निर्देशिकाओं की एक अनुमति सूची बनाए रखें (जैसे, अपलोड)।.
  • realpath() का उपयोग करें और सत्यापित करें कि मानक पथ इच्छित आधार निर्देशिका के भीतर है।.
• फ़ाइल प्रबंधन को सार्वजनिक रूप से उजागर करने से बचें।. यदि हटाना आवश्यक है, तो इसे प्रमाणित व्यवस्थापक संदर्भों तक सीमित करें और अद-हॉक फ़ाइल सिस्टम कॉल के बजाय WordPress APIs (WP_Filesystem) का उपयोग करें।.
• हटाने की घटनाओं को लॉग करें। (उपयोगकर्ता, समय-चिह्न, पथ) और सामूहिक हटाने या बार-बार विफल प्रयासों पर अलर्ट करें।.
• प्राधिकरण का परीक्षण करें। स्वचालित परीक्षणों के साथ और फ़ाइल संचालन के लिए CI में फज़िंग/पैरामीटर छेड़छाड़ शामिल करें।.
• कोड समीक्षा और तैनाती जांच शामिल करें। सभी कोड के लिए जो फ़ाइल सिस्टम में परिवर्तन करता है।.

शिकार प्रश्न और लॉग खोज उदाहरण।

संदिग्ध गतिविधियों की पहचान के लिए रक्षात्मक लॉग खोजों के उदाहरण:

• थीम पथों के लिए अनुरोधों के लिए एक्सेस लॉग खोजें जिनमें “../”, “/etc/”, “/var/”, “.php”, या पूर्ण पथ शामिल हैं।.
• admin-ajax.php या REST एंडपॉइंट्स पर प्रमाणित अनुरोधों को खोजें जो हटाने जैसे पैरामीटर शामिल करते हैं।.
• 4xx/5xx प्रतिक्रियाओं के स्पाइक्स को निकटवर्ती फ़ाइल संशोधन समय-चिह्नों के साथ सहसंबंधित करें।.
• उन अनुक्रमों की तलाश करें जहां एक परीक्षण अनुरोध के बाद उसी IP से सफल 200/204 प्रतिक्रिया होती है।.

हार्डनिंग चेकलिस्ट (घटना के बाद और निवारक)

• उच्च-गंभीरता वाले प्रमाणित मुद्दों के लिए थीम, प्लगइन्स और WordPress कोर को तुरंत अपडेट करें।.
• हटाने और अप्रत्याशित परिवर्तनों का तेजी से पता लगाने के लिए फ़ाइल-सम्पत्ति निगरानी तैनात करें।.
• फ़ाइल सिस्टम और WordPress खातों पर न्यूनतम विशेषाधिकार लागू करें।.
• सर्वर-स्तरीय नियमों के माध्यम से थीम निर्देशिकाओं के भीतर शामिल फ़ाइलों तक सीधी पहुँच को सीमित करें।.
• नियमित, परीक्षण किए गए बैकअप बनाए रखें और उन्हें ऑफ-साइट रखें।.
• अपडेट शेड्यूल करते समय WAF या सर्वर स्तर पर वर्चुअल पैचिंग का उपयोग करें।.
• प्रारंभिक अलर्ट प्राप्त करने के लिए संबंधित सुरक्षा सलाहकारों और खतरे के फीड्स की सदस्यता लें।.

यदि आप प्रभावित होते हैं तो पुनर्प्राप्ति टिप्स

• घटना से पहले लिए गए ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.
• यदि कोई बैकअप मौजूद नहीं है, तो एक विश्वसनीय स्रोत (3.2.3+) से थीम को फिर से स्थापित करें और डेटाबेस निर्यात से सामग्री को पुनर्स्थापित करें।.
• सभी संशोधित या हटाए गए फ़ाइलों को स्वच्छ प्रतियों से बदलें और अधिकृत अनुकूलन को फिर से लागू करें।.
• साइट द्वारा उपयोग किए जाने वाले पासवर्ड, रहस्यों और API कुंजियों को घुमाएँ।.
• एक पूर्ण सुरक्षा स्कैन चलाएँ और पुष्टि करें कि कोई स्थायी तंत्र नहीं बचा है।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: क्या मैं केवल एक फ़ायरवॉल पर भरोसा कर सकता हूँ और पैच छोड़ सकता हूँ?
उत्तर: नहीं। वर्चुअल पैचिंग और WAF सुरक्षा जोखिम को कम करते हैं और कई हमलों को रोक सकते हैं, लेकिन ये प्रतिस्थापन नियंत्रण हैं। दीर्घकालिक विश्वसनीय समाधान केवल विक्रेता पैच (3.2.3+) को लागू करना है। वर्चुअल पैचिंग का उपयोग केवल अस्थायी समाधान के रूप में करें।.

प्रश्न: मेरी साइट का खुलासा होने के बाद नहीं टूटी - क्या मुझे अभी भी अपडेट करने की आवश्यकता है?
उत्तर: हाँ। दृश्य प्रभाव की अनुपस्थिति का मतलब यह नहीं है कि आप लक्षित नहीं थे। स्वचालित स्कैन बिना पैच वाली साइटों को जल्दी ढूंढ सकते हैं।.

प्रश्न: मुझे चिंता है कि अपडेट अनुकूलन को ओवरराइट कर देंगे - मुझे क्या करना चाहिए?
उत्तर: पहले बैकअप लें। कस्टम कोड को एक चाइल्ड थीम में स्थानांतरित करें ताकि माता-पिता के अपडेट परिवर्तन को ओवरराइट न करें। स्टेजिंग पर अपडेट का परीक्षण करें, या पैचिंग के बाद अनुकूलन को फिर से लागू करने के लिए लक्षित फ़ाइल बैकअप करें।.

प्रश्न: क्या हमलावर इस कमजोरियों के माध्यम से कोर वर्डप्रेस फ़ाइलों को हटा सकते हैं?
उत्तर: यह इस बात पर निर्भर करता है कि थीम पथों को कैसे मान्य करती है और वेब सर्वर उपयोगकर्ता की अनुमतियाँ क्या हैं। यदि हटाने पर कोई प्रतिबंध नहीं है और वेब सर्वर उपयोगकर्ता के पास व्यापक लेखन अनुमतियाँ हैं, तो महत्वपूर्ण फ़ाइलें जोखिम में हो सकती हैं। लेखन योग्य स्थानों को प्रतिबंधित करें और पथों को मान्य करें।.

प्राथमिकता और कई साइटों की सुरक्षा

1. सूची: Goza का उपयोग करने वाली सभी साइटों और उनके संस्करणों की पहचान करें; उत्पादन और उच्च-ट्रैफ़िक साइटों को प्राथमिकता दें।.
2. जल्दी पैच करें: प्रभावित साइटों पर पहले 3.2.3+ लागू करें।.
3. अपडेट की योजना बनाते समय वर्चुअल पैच: जोखिम को कम करने के लिए WAF/सर्वर नियमों का उपयोग करें।.
4. निगरानी करें: शोषण प्रयासों के लिए लॉग और अलर्ट पर नज़र रखें।.
5. हार्डन और बैकअप: फ़ाइल सिस्टम अनुमतियों में सुधार करें, परीक्षण किए गए बैकअप बनाए रखें, और फ़ाइल-इंटीग्रिटी मॉनिटरिंग सक्षम करें।.

सहायता की पेशकश

यदि आपको मदद की आवश्यकता है, तो मैं एक अनुभवी सुरक्षा सलाहकार के रूप में:

• स्पष्ट शोषण प्रयासों को रोकने के लिए रूढ़िवादी, पर्यावरण-विशिष्ट WAF/सर्वर नियम (nginx, Apache/ModSecurity) तैयार करें जबकि झूठे सकारात्मक को न्यूनतम करें।.
• एक संक्षिप्त घटना प्रतिक्रिया चेकलिस्ट और प्लेबुक तैयार करें जिसे आप संचालन टीमों को वितरित कर सकते हैं।.
• आपको एक स्टेजिंग वातावरण पर एक चरणबद्ध पुनर्प्राप्ति प्रक्रिया के माध्यम से ले जाऊं ताकि पुनर्स्थापनों और हार्डनिंग चरणों को मान्य किया जा सके।.

सतर्क रहें: प्रभावित साइटों की पहचान करें, तुरंत Goza 3.2.3 या बाद के संस्करण पर पैच करें, और जोखिम को कम करने के लिए स्तरित नियंत्रण (वर्चुअल पैच, अनुमतियाँ, निगरानी, बैकअप) लागू करें जबकि आप सुधार कर रहे हैं।.