Wवर्डप्रेस भेद्यता डेटाबेस

डीज़ा थीम स्थानीय फ़ाइल समावेशन सलाहकार (CVE202568544)

वर्डप्रेस डीज़ा थीम में स्थानीय फ़ाइल समावेशन
0
शेयर
0
0
0
0
प्लगइन का नाम डीज़ा
कमजोरियों का प्रकार स्थानीय फ़ाइल समावेश
CVE संख्या CVE-2025-68544
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2025-12-25
स्रोत URL CVE-2025-68544





Local File Inclusion in the Diza WordPress Theme (≤ 1.3.15): What Site Owners Must Do Now


डीज़ा वर्डप्रेस थीम में स्थानीय फ़ाइल समावेश (≤ 1.3.15): साइट मालिकों को अब क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ · दिनांक: 2025-12-24

TL;DR

डीज़ा वर्डप्रेस थीम में एक स्थानीय फ़ाइल समावेश (LFI) सुरक्षा दोष है जो संस्करण ≤ 1.3.15 को प्रभावित करता है और 1.3.16 में ठीक किया गया है (CVE-2025-68544)। हालांकि कुछ रिपोर्टों ने इस मुद्दे को “कम प्राथमिकता” के रूप में लेबल किया है, वास्तविक दुनिया में प्रभाव उन साइटों पर गंभीर हो सकता है जहाँ संवेदनशील फ़ाइलें पहुँच योग्य हैं या सर्वर/PHP कॉन्फ़िगरेशन जोखिम बढ़ाते हैं। यदि आप डीज़ा थीम चला रहे हैं, तो तुरंत 1.3.16 में अपडेट करें और नीचे दिए गए घटना चरणों और हार्डनिंग उपायों का पालन करें ताकि जोखिम को कम किया जा सके, शोषण का पता लगाया जा सके, और साफ-सुथरे तरीके से पुनर्प्राप्त किया जा सके।.

यह लेख, हांगकांग के एक सुरक्षा प्रैक्टिशनर के दृष्टिकोण से लिखा गया है, जो बताता है कि LFI क्या है, यह क्यों महत्वपूर्ण है, शोषण का पता कैसे लगाया जाए, और इसे नियंत्रित करने और पुनर्प्राप्त करने के लिए व्यावहारिक कदम।.

आपको इसे क्यों पढ़ना चाहिए (त्वरित)

  • यदि आपकी साइट डीज़ा थीम (या कोई भी थीम/प्लगइन जो उपयोगकर्ता इनपुट के आधार पर फ़ाइलें लोड करता है) का उपयोग करती है, तो इसे पढ़ें।.
  • शोषित LFI संवेदनशील फ़ाइलें उजागर कर सकता है wp-config.php, क्रेडेंशियल्स, और अन्य संवेदनशील फ़ाइलें।.
  • तात्कालिक कार्रवाई: थीम को अपडेट करें, मैलवेयर स्कैन चलाएँ, लॉग की जाँच करें, क्रेडेंशियल्स को घुमाएँ।.
  • दीर्घकालिक: फ़ाइल अनुमतियों को मजबूत करें, अपलोड निर्देशिकाओं में निष्पादन को प्रतिबंधित करें, और विसंगतियों की निगरानी करें।.

स्थानीय फ़ाइल समावेश (LFI) क्या है?

स्थानीय फ़ाइल समावेश तब होता है जब एक एप्लिकेशन उपयोगकर्ता इनपुट को स्वीकार करता है जिसका उपयोग सर्वर पर एक फ़ाइल के लिए पथ बनाने के लिए किया जाता है और फिर उचित सत्यापन के बिना उस फ़ाइल को शामिल या पढ़ता है। PHP-आधारित सिस्टम जैसे वर्डप्रेस में, LFI एक हमलावर को अनुमति दे सकता है:

  • संवेदनशील फ़ाइलें पढ़ें (उदाहरण के लिए, wp-config.php, .env फ़ाइलें, बैकअप फ़ाइलें)।.
  • कॉन्फ़िगरेशन या क्रेडेंशियल डेटा लीक करें जो डेटाबेस समझौते की ओर ले जाता है।.
  • कुछ सेटअप में, PHP रैपर या लॉग पॉइज़निंग के माध्यम से दूरस्थ कोड निष्पादन प्राप्त करें यदि PHP कोड वाली लिखने योग्य फ़ाइलें शामिल की जा सकती हैं।.

LFI आमतौर पर निर्देशिका ट्रैवर्सल अनुक्रमों का उपयोग करता है (../) या PHP स्ट्रीम रैपर (जैसे, php://input, php://filter) समावेश प्राप्त करने के लिए। रिमोट फ़ाइल समावेश (RFI) के विपरीत, LFI उन फ़ाइलों को लक्षित करता है जो पहले से ही सर्वर पर मौजूद हैं।.

डीज़ा भेद्यता का सारांश

  • प्रभावित सॉफ़्टवेयर: डीज़ा वर्डप्रेस थीम
  • प्रभावित संस्करण: ≤ 1.3.15
  • में ठीक किया गया: 1.3.16
  • कमजोरियों का प्रकार: स्थानीय फ़ाइल समावेश (LFI)
  • CVE: CVE-2025-68544
  • रिपोर्ट की गई प्रकटीकरण तिथि: दिसंबर 2025 के अंत में

मूल कारण एक पैरामीटर की अपर्याप्त मान्यता है जिसका उपयोग स्थानीय फ़ाइलों को शामिल या आवश्यक करने के लिए किया जाता है। थीम ने उपयोगकर्ता-नियंत्रित इनपुट को स्वीकार किया जो फ़ाइल सिस्टम स्थानों की ओर इशारा कर सकता है, जिससे एक हमलावर को रिपोर्ट की गई विशेषाधिकार के साथ स्थानीय फ़ाइल सामग्री को लौटाने या निष्पादित करने की अनुमति मिलती है। वास्तविक दुनिया में प्रभाव सर्वर कॉन्फ़िगरेशन, PHP सेटिंग्स और हमलावर खाते के विशेषाधिकार पर निर्भर करता है।.

थीम में LFI का महत्व क्यों है (वास्तविक हमले के परिदृश्य)

  1. क्रेडेंशियल का खुलासा
    पढ़ना wp-config.php DB क्रेडेंशियल और सॉल्ट्स को प्रकट कर सकता है। DB पहुंच के साथ एक हमलावर डेटा को निकाल सकता है या बदल सकता है और संभावित रूप से व्यवस्थापक उपयोगकर्ता बना सकता है।.
  2. पूर्ण साइट अधिग्रहण
    क्रेडेंशियल पहुंच या श्रृंखलाबद्ध भेद्यताएँ (जैसे, असुरक्षित अपलोड) दूरस्थ कोड निष्पादन और स्थायी बैकडोर का कारण बन सकती हैं।.
  3. RCE प्राप्त करने के लिए लॉग विषाक्तता
    यदि एक हमलावर एक फ़ाइल में लिख सकता है जिसे बाद में शामिल किया जाता है (लॉग, अपलोड), तो वे PHP कोड इंजेक्ट कर सकते हैं और कमजोर समावेश के माध्यम से दूरस्थ निष्पादन का कारण बन सकते हैं। कई होस्ट इसे अपलोड क्षेत्रों में PHP निष्पादन को रोककर कम करते हैं, लेकिन कॉन्फ़िगरेशन भिन्न होते हैं।.
  4. संवेदनशील फ़ाइल का खुलासा
    बैकअप, पर्यावरण फ़ाइलें, SSH कुंजी (यदि गलत कॉन्फ़िगर की गई हो), और अन्य निजी फ़ाइलें प्रकट हो सकती हैं।.

कुछ रिपोर्टों से पता चलता है कि आवश्यक विशेषाधिकार कम हैं; हालाँकि, साइटों में अक्सर ढीले भूमिका असाइनमेंट या सार्वजनिक सबमिशन बिंदु होते हैं जो जोखिम बढ़ाते हैं। LFI को एक गंभीर मुद्दे के रूप में मानें।.

हमलावर आमतौर पर LFI को कैसे खोजते और इसका लाभ उठाते हैं (उच्च स्तर)

  • स्वचालित स्कैनर और बॉट ज्ञात एंडपॉइंट्स के लिए शामिल पैरामीटर की जांच करते हैं।.
  • बॉट ट्रैवर्सल पेलोड भेजते हैं (जैसे, ../../../../wp-config.php) या php://filter रैपर।.
  • यदि एप्लिकेशन फ़ाइल सामग्री या अवलोकनीय साइड-इफेक्ट (त्रुटियाँ, बदला हुआ प्रतिक्रिया आकार) लौटाता है, तो स्कैनर सफलता की रिपोर्ट करता है।.
  • पुष्टि के बाद, हमलावर संवेदनशील फ़ाइलों को निकालने और पार्श्व रूप से आगे बढ़ने का प्रयास करते हैं (DB एक्सेस, बैकडोर स्थापना)।.

संकेत अक्सर शामिल होते हैं अनुरोधों के साथ ../, php://, या data:// उन पैरामीटर के अंदर जो थीम उपयोग कर सकती है।.

यदि आप Diza चला रहे हैं (या मानते हैं कि आप प्रभावित हैं) तो तात्कालिक कदम

  1. अब थीम को अपडेट करें
    Diza को संस्करण 1.3.16 या बाद में अपग्रेड करें — यह सबसे प्रभावी समाधान है।.
  2. एक्सपोजर को सीमित करें
    यदि आप सक्रिय शोषण का संदेह करते हैं, तो जांच करते समय सार्वजनिक पहुंच को अस्थायी रूप से प्रतिबंधित करें (रखरखाव मोड या IP अनुमति सूची)।.
  3. समझौते के संकेतों के लिए स्कैन करें (IoCs)
    एक पूर्ण मैलवेयर स्कैन चलाएँ; हाल ही में संशोधित फ़ाइलों, संदिग्ध व्यवस्थापक उपयोगकर्ताओं और अप्रत्याशित PHP फ़ाइलों के लिए फ़ाइल सिस्टम की खोज करें; नए क्रॉन कार्यों की जांच करें और .htaccess परिवर्तन।.
  4. लॉग की जांच करें
    यात्रा पैटर्न या असामान्य पैरामीटर के लिए वेब सर्वर लॉग खोजें; एक ही एंडपॉइंट के लिए दोहराए गए अनुरोधों को नोट करें।.
  5. क्रेडेंशियल्स को घुमाएं
    यदि आपको फ़ाइल प्रकटीकरण का संदेह है तो DB क्रेडेंशियल और वर्डप्रेस प्रशासन पासवर्ड को घुमाएँ। अपडेट करें wp-config.php किसी भी नए DB क्रेडेंशियल के साथ।.
  6. आवश्यकता होने पर साफ बैकअप से पुनर्स्थापित करें
    यदि समझौता पुष्टि हो गया है और सफाई अनिश्चित है, तो पूर्व-समझौता बैकअप से पुनर्स्थापित करें, फिर अपडेट करें और मजबूत करें।.
  7. घटना के बाद का ऑडिट
    संदिग्ध उपयोगकर्ताओं को हटा दें, अप्रयुक्त कुंजी/टोकन को रद्द करें, और पार्श्व आंदोलन के लिए फ़ाइल अनुमतियों और लॉग की समीक्षा करें।.
  8. फोरेंसिक विश्लेषण पर विचार करें
    संवेदनशील डेटा संभालने वाली साइटों के लिए, पूर्ण सफाई और नियामक अनुपालन सुनिश्चित करने के लिए एक फोरेंसिक टीम को शामिल करें।.

पहचान संकेत और लॉग में क्या देखना है

वेब सर्वर या WAF लॉग में खोजने के लिए उच्च-स्तरीय संकेतक:

  • अनुरोध जो दोहराए गए ../ अनुक्रमों को शामिल करते हैं।.
  • पैरामीटर जो फ़ाइल पथ की तरह दिखते हैं (जैसे, फ़ाइल=, पथ=, टेम्पलेट=, दृश्य=, पृष्ठ=, शामिल=).
  • PHP स्ट्रीम रैपर: php://, php://filter, data://.
  • प्रतिक्रियाएँ जो अचानक लंबे स्ट्रिंग, कॉन्फ़िग विवरण, या डेटाबेस होस्टनाम शामिल करती हैं।.
  • एक ही एंडपॉइंट पर बार-बार त्वरित अनुरोध (स्कैनिंग व्यवहार)।.
  • संदिग्ध उपयोगकर्ता एजेंट या गैर-ब्राउज़र यूए स्ट्रिंग।.

उदाहरण सुरक्षित पहचान नियम अवधारणा (उत्पादन से पहले स्टेजिंग पर परीक्षण करें):

किसी भी अनुरोध को ब्लॉक करें जिसमें शामिल हैं:

सामान्य सुरक्षा जैसे WAF या सर्वर-स्तरीय नियम इनको रक्षात्मक ब्लॉकों में अनुवाद कर सकते हैं जबकि झूठे सकारात्मक से बचने के लिए ट्यून कर सकते हैं।.

प्रबंधित सुरक्षा कैसे मदद करती है

प्रबंधित सुरक्षा सेवाएँ और सही तरीके से कॉन्फ़िगर की गई सर्वर-स्तरीय रक्षा खुलासे और पैचिंग के बीच हमले की खिड़की को कम कर सकती हैं। व्यावहारिक लाभों में शामिल हैं:

  • सामान्य शोषण पैटर्न (निर्देशिका यात्रा, PHP रैपर) को किनारे पर ब्लॉक करना।.
  • लॉगिंग और अलर्टिंग प्रदान करना ताकि आप स्कैनिंग और शोषण प्रयासों का जल्दी पता लगा सकें।.
  • सुरक्षित अपडेट और फोरेंसिक विश्लेषण करने के लिए समय देना बिना तत्काल सार्वजनिक एक्सपोजर के।.

नोट: ये सुरक्षा एक पुल हैं — प्रतिस्थापन नहीं — विक्रेता पैच लागू करने और घटना प्रतिक्रिया कदमों का पालन करने के लिए।.

अपने वर्डप्रेस साइट को LFI और समान दोषों के खिलाफ मजबूत करना

व्यावहारिक उपाय जो आप तुरंत लागू कर सकते हैं:

  1. न्यूनतम विशेषाधिकार
    केवल उपयोगकर्ताओं को वे भूमिकाएँ दें जिनकी उन्हें आवश्यकता है। DB उपयोगकर्ता विशेषाधिकारों को न्यूनतम आवश्यक तक सीमित करें।.
  2. प्रशासन में फ़ाइल संपादन अक्षम करें
    जोड़ें wp-config.php:

    define('DISALLOW_FILE_EDIT', true);
  3. फ़ाइल और निर्देशिका अनुमतियों को मजबूत करें
    फ़ाइलें: 644 (या अधिक सख्त)। निर्देशिकाएँ: 755 (या अधिक सख्त)।. wp-config.php: 600 या 640 जहाँ होस्टिंग अनुमति देती है।.
  4. अपलोड निर्देशिकाओं में PHP निष्पादन अक्षम करें
    Apache के लिए, एक रखें .htaccess में 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।:

    <FilesMatch "\.php$">
  Deny from all
</FilesMatch>

    Nginx के लिए, सुनिश्चित करें कि PHP हैंडलिंग केवल विश्वसनीय स्थानों तक सीमित है।.

  5. कोर, थीम, प्लगइन्स को अपडेट रखें
    नियमित अपडेट ज्ञात कमजोरियों के संपर्क को कम करते हैं।.
  6. मजबूत रहस्यों का उपयोग करें और कुंजी घुमाएँ
    यदि आप फ़ाइल प्रकटीकरण का संदेह करते हैं तो DB पासवर्ड घुमाएँ और WordPress सॉल्ट्स को फिर से उत्पन्न करें।.
  7. अप्रयुक्त थीम और प्लगइन्स को हटा दें
    निष्क्रिय कोड अभी भी जोखिम हो सकता है यदि यह सुलभ है।.
  8. संवेदनशील फ़ाइलों की सुरक्षा करें
    बैकअप और पर्यावरण फ़ाइलों को दस्तावेज़ रूट के बाहर स्थानांतरित करें।.
  9. आवधिक फ़ाइल अखंडता निगरानी
    अप्रत्याशित परिवर्तनों के लिए महत्वपूर्ण फ़ाइलों की निगरानी करें (कोर फ़ाइलें, wp-config.php, थीम फ़ाइलें)।.

सुरक्षित जांच चेकलिस्ट (चरण-दर-चरण)

  1. परिवर्तन करने से पहले एक स्नैपशॉट बैकअप लें (फ़ाइलें + DB)।.
  2. Diza को 1.3.16 में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्रभावित थीम पथ के लिए LFI पैटर्न को अवरुद्ध करने वाले एज/सर्वर नियम लागू करें।.
  3. फ़ाइल सिस्टम और डेटाबेस के माध्यम से एक मैलवेयर स्कैनर चलाएँ।.
  4. अपलोड में नए जोड़े गए PHP फ़ाइलों की खोज करें या wp-content, संशोधित थीम/प्लगइन फ़ाइलें (पिछले 30 दिन), और अज्ञात व्यवस्थापक उपयोगकर्ता।.
  5. संदिग्ध अनुरोधों के लिए वेब सर्वर लॉग की जांच करें (डिटेक्शन सेक्शन देखें)।.
  6. क्रेडेंशियल्स को घुमाएँ (WP व्यवस्थापक, DB, तृतीय-पक्ष कुंजी)।.
  7. सफाई की पुष्टि करने के लिए सुधार के बाद फिर से स्कैन करें।.
  8. यदि समझौता पाया जाता है, तो एक साफ बैकअप से पुनर्स्थापित करें, पैच करें, और उत्पादन में पुनर्स्थापित करने से पहले मजबूत करें।.

व्यावहारिक WAF नियम सुझाव (संकल्पनात्मक)

संकल्पनात्मक नियम सुरक्षा टीमें लागू कर सकती हैं। हमेशा पहले स्टेजिंग में परीक्षण करें।.

  1. शामिल-जैसे पैरामीटर में यात्रा को ब्लॉक करें
    शर्त: क्वेरी में शामिल है ../ और पैरामीटर नाम [फ़ाइल, पथ, टेम्पलेट, दृश्य, पृष्ठ, inc, शामिल] में है। क्रिया: ब्लॉक + लॉग।.
  2. PHP स्ट्रीम रैपर को ब्लॉक करें
    शर्त: अनुरोध में शामिल है php://, data://, zip://, आदि। क्रिया: ब्लॉक + लॉग।.
  3. व्यवस्थापक/पूर्वावलोकन एंडपॉइंट्स की सुरक्षा करें
    थीम शामिल एंडपॉइंट्स पर बार-बार अनुरोध करने का प्रयास करने वाले ग्राहकों को दर-सीमा या चुनौती दें।.
  4. अचानक बड़े उत्तरों की निगरानी करें
    यदि एक ज्ञात शामिल एंडपॉइंट अपेक्षित से बहुत बड़े पेलोड को लौटाता है तो अलर्ट करें।.

नियमों को संदर्भ-सचेत बनाएं और पथ स्कोपिंग लागू करें (केवल कमजोर थीम पथ)। प्रगतिशील प्रवर्तन का उपयोग करें: लॉग → चुनौती → ब्लॉक ताकि झूठे सकारात्मक को कम किया जा सके।.

पोस्ट-उपचार निगरानी और दीर्घकालिक कदम

  • फ़ाइल अखंडता निगरानी सक्रिय रखें।.
  • नियमित रूप से कमजोरियों की स्कैनिंग का कार्यक्रम बनाएं और कमजोरियों के फ़ीड की सदस्यता लें।.
  • उच्च-जोखिम साइटों (ई-कॉमर्स, सदस्यता) के लिए पैठ परीक्षण चलाएं।.
  • असामान्य प्रक्रिया गतिविधि या PHP प्रक्रियाओं के शेल उत्पन्न करने के लिए होस्ट अलर्ट कॉन्फ़िगर करें।.
  • संचार टेम्पलेट, बैकअप प्रक्रियाएं और पुनर्प्राप्ति समयरेखा के साथ एक घटना प्लेबुक बनाए रखें।.

ग्राहकों और हितधारकों के साथ संचार करना

  • ग्राहकों को कमजोरियों, प्रभाव और उठाए गए उपचार कदमों के बारे में सूचित करें।.
  • एक स्पष्ट समयरेखा प्रदान करें: पहचान → सीमित करना → उपचार → सत्यापन।.
  • सफाई का प्रमाण प्रदान करें: लॉग जो अवरुद्ध एंडपॉइंट और साफ़ स्कैन परिणाम दिखाते हैं।.
  • संचार को तेज़ करने और भ्रम को कम करने के लिए पूर्व-लिखित टेम्पलेट का उपयोग करें।.

उदाहरण लॉग प्रविष्टियाँ — किस पर ध्यान दें (नमूना)

192.0.2.1 - - [23/Dec/2025:12:01:05 +0000] "GET /wp-content/themes/diza/includes.php?file=../../../../wp-config.php HTTP/1.1" 200 12456 "-" "curl/7.68.0"

51.100.23 - - [23/Dec/2025:12:05:22 +0000] "GET /?page=php://filter/convert.base64-encode/resource=wp-config.php HTTP/1.1" 200 2048 "-" "Mozilla/5.0".

यदि आप इन पैटर्न को देखते हैं, तो जांच चेकलिस्ट का पालन करें और उन्हें गंभीरता से लें।

  • कब अपने होस्ट या सुरक्षा विशेषज्ञ को शामिल करें.
  • समझौते के सबूत: अज्ञात व्यवस्थापक उपयोगकर्ता, अपरिवर्तनीय फ़ाइल परिवर्तन, या बैकडोर।.
  • यदि आपके पास लॉग का विश्लेषण करने या साइट को साफ़ करने की तकनीकी क्षमता नहीं है।.
  • यदि एक ही होस्ट पर कई साइटें समान संकेत दिखाती हैं — यह सर्वर-स्तरीय समस्या का संकेत हो सकता है।.

LFI शोषण जोखिम को कम करने वाले एक्सेस नियंत्रण

  • विश्वसनीय प्रशासकों के लिए प्लगइन/थीम फ़ाइलों पर लिखने की पहुंच सीमित करें।.
  • उत्पादन पर सीधे संपादन से रोकने के लिए तैनाती (CI/CD) का उपयोग करें।.
  • बैकअप या क्रेडेंशियल फ़ाइलों को वेब-सुलभ स्थानों में संग्रहीत करने से बचें।.

अंतिम चेकलिस्ट - अब क्या करें (चरण-दर-चरण)

  1. तुरंत Diza को 1.3.16 या बाद के संस्करण में अपडेट करें।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो थीम पथ के लिए LFI पैटर्न को ब्लॉक करने वाले एज/सर्वर नियम लागू करें।.
  3. पूर्ण मैलवेयर और फ़ाइल अखंडता स्कैन चलाएं।.
  4. डेटाबेस और प्रशासक क्रेडेंशियल्स को घुमाएं।.
  5. संदिग्ध अनुरोधों के लिए लॉग की समीक्षा करें और पुष्टि किए गए IoCs पर कार्रवाई करें।.
  6. कॉन्फ़िगरेशन को मजबूत करें: फ़ाइल संपादनों को अक्षम करें, अपलोड में PHP निष्पादन की अनुमति न दें, अनुमतियों को कड़ा करें।.
  7. यदि आप समझौता का पता लगाते हैं तो पेशेवर सफाई और फोरेंसिक मूल्यांकन पर विचार करें।.
  8. भविष्य की प्रतिक्रियाओं के लिए निरंतर निगरानी और एक घटना प्लेबुक बनाए रखें।.

समापन विचार

थीम और प्लगइन्स में कमजोरियां एक आवर्ती वास्तविकता हैं। महत्वपूर्ण यह है कि आप कितनी जल्दी और पूरी तरह से प्रतिक्रिया देते हैं: समय पर अपडेट, स्पष्ट पहचान, और परतदार रक्षा समझौते के अवसर को कम करती है। डिस्क से फ़ाइलें पढ़ने वाले कोड के साथ सावधानी बरतें, और सुनिश्चित करें कि आपके संचालन नियंत्रण (अनुमतियाँ, निष्पादन नीतियाँ, निगरानी) मजबूत हैं।.

यदि आप कई साइटों का प्रबंधन करते हैं, तो अब मानक संचालन प्रक्रियाएँ और संचार टेम्पलेट तैयार करें - इससे घटनाओं के होने पर मूल्यवान समय बचेगा। जल्दी कार्रवाई करें: सक्रिय शोषण अक्सर सार्वजनिक प्रकटीकरण के घंटों के भीतर होता है।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

VPSUForm डेटा जोखिम पर सामुदायिक सलाहकार (CVE202568551)

अगला लेख —

सामुदायिक चेतावनी जॉबहंट प्लगइन में XSS (CVE20257782)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक चेतावनी पहुंच नियंत्रण कमजोरी ELEX हेल्पडेस्क(CVE202512169)

  • नवम्बर 20, 2025
वर्डप्रेस ELEX वर्डप्रेस हेल्पडेस्क और ग्राहक टिकटिंग सिस्टम प्लगइन में टूटी हुई पहुंच नियंत्रण
Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक सलाह वास्तविक स्थान व्यवस्थापक वृद्धि(CVE20256758)

  • अगस्त 18, 2025
WordPress Real Spaces - WordPress Properties Directory Theme प्लगइन <= 3.6 - 'imic_agent_register' कमजोरियों के माध्यम से व्यवस्थापक के लिए अनधिकृत विशेषाधिकार वृद्धि