तत्काल सुरक्षा सलाह: क्लाउडफ्लेयर इमेज रिसाइजिंग (cf-image-resizing) <= 1.5.6 — बिना प्रमाणीकरण के RCE rest_pre_dispatch के माध्यम से (CVE-2025-8723)

तारीख: 18 अगस्त 2025
गंभीरता: गंभीर (CVSS 10.0) — रिमोट कोड निष्पादन (RCE)
प्रभावित प्लगइन: क्लाउडफ्लेयर इमेज रिसाइजिंग (प्लगइन स्लग: cf-image-resizing)
कमजोर संस्करण: <= 1.5.6
में ठीक किया गया: 1.5.7
CVE: CVE-2025-8723

सारांश (हांगकांग सुरक्षा विशेषज्ञ दृष्टिकोण)

यह क्लाउडफ्लेयर इमेज रिसाइजिंग वर्डप्रेस प्लगइन (संस्करण ≤ 1.5.6) में एक गंभीर, बिना प्रमाणीकरण वाला रिमोट कोड निष्पादन कमजोरियों है जो वर्डप्रेस REST API प्री-डिस्पैच हुक (rest_pre_dispatch) का दुरुपयोग करता है बिना उचित प्रमाणीकरण के। इस कमजोरियों को CVE-2025-8723 सौंपा गया था और इसे संस्करण 1.5.7 में ठीक किया गया है। इसे आपातकालीन रूप से मानें — हमलावरों के स्वचालित रूप से शोषण प्रयास करने की संभावना है। यदि आप हांगकांग या एशिया-प्रशांत क्षेत्र में साइटों का प्रबंधन करते हैं, तो तुरंत पैच करने या जोखिम को नियंत्रित करने के लिए कार्रवाई करें और यदि कोई असामान्य गतिविधि का संकेत हो तो फोरेंसिक जांच करें।.

कार्यकारी सारांश

एक हमलावर बिना प्रमाणीकरण वाले कोड पथों को rest_pre_dispatch के माध्यम से सक्रिय कर सकता है जो हमलावर द्वारा प्रदान किए गए इनपुट के निष्पादन या असुरक्षित सामग्री के समावेश की ओर ले जाते हैं, जिससे कमजोर साइटों पर पूर्ण RCE सक्षम होता है। परिणामों में साइट का अधिग्रहण, बैकडोर, डेटा चोरी, स्पैम/SEO ब्लैकलिस्ट, और साझा होस्टिंग पर संभावित पार्श्व आंदोलन शामिल हैं। तुरंत 1.5.7 में अपडेट करें। यदि तत्काल पैचिंग संभव नहीं है, तो सर्वर-स्तरीय प्रतिबंध या वर्चुअल पैचिंग लागू करें और नीचे दिए गए घटना प्रतिक्रिया कदम उठाएं।.

क्या गलत हुआ (तकनीकी पृष्ठभूमि)

• प्लगइन rest_pre_dispatch में हुक करता है, जो REST अनुरोध हैंडलिंग में जल्दी चलता है और सामान्य रूटिंग को शॉर्ट-सर्किट कर सकता है।.
• प्रभावित संस्करणों में, उस हुक से पहुंच योग्य कोड ने बिना प्रमाणीकरण के इनपुट को स्वीकार किया और प्रामाणिकता या क्षमता की जांच किए बिना लॉजिक को निष्पादित किया, जिससे RCE सक्षम हुआ।.
• मूल कारण: प्रमाणीकरण/अधिकार जांच की कमी जो सर्वर पर निष्पादन संदर्भ में उपयोगकर्ता-नियंत्रित इनपुट के असुरक्षित हैंडलिंग के साथ मिलकर।.

क्योंकि rest_pre_dispatch मानक REST प्रमाणीकरण से पहले निष्पादित होता है, अनुरोधों को मान्य करने में विफलता से विशेषाधिकार प्राप्त संचालन के लिए बिना प्रमाणीकरण के पहुंच की अनुमति मिलती है। शोषण के लिए केवल प्लगइन द्वारा लक्षित REST एंडपॉइंट (एंडपॉइंट) पर HTTP अनुरोध की आवश्यकता होती है।.

प्रभाव

• पूर्ण साइट समझौता (RCE → बैकडोर → व्यवस्थापक निर्माण → डेटा चोरी)।.
• यदि PHP प्रक्रिया और होस्ट विशेषाधिकार वृद्धि की अनुमति देते हैं तो संभावित सर्वर-स्तरीय पहुंच।.
• डेटा निकासी, सामग्री विकृति, स्पैम वितरण, क्रिप्टोमाइनिंग, या बॉटनेट/कैरीयर गतिविधि।.
• सर्च इंजन ब्लैकलिस्टिंग और प्रतिष्ठा को नुकसान।.

प्रमाणीकरण रहित स्वभाव और CVSS 10.0 को देखते हुए, तेज़ स्वचालित स्कैन और शोषण की अपेक्षा की जा सकती है।.

तत्काल कार्रवाई (अभी क्या करें)

1. तुरंत प्लगइन को 1.5.7 या बाद के संस्करण में अपडेट करें।.
   WP Admin से: Plugins → Installed Plugins → Cloudflare Image Resizing अपडेट करें।.
   या WP-CLI के माध्यम से:

   wp plugin list --format=table

2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो सर्वर या WAF स्तर पर प्लगइन के REST एंडपॉइंट्स तक पहुंच को ब्लॉक करें।. प्लगइन के लिए /wp-json/… पथों पर ट्रैफ़िक को अस्वीकार करें या सीमित करें और संदिग्ध पेलोड को ब्लॉक करें।.
3. यदि आप शोषण का संदेह करते हैं:
   • साइट को रखरखाव मोड में डालें या अस्थायी रूप से बाहरी ट्रैफ़िक को ब्लॉक करें।.
   • एक पूर्ण फ़ाइल और डेटाबेस बैकअप बनाएं, लॉग को सुरक्षित रखें (लिखने से सुरक्षित)।.
   • वर्डप्रेस प्रशासन पासवर्ड, डेटाबेस क्रेडेंशियल, होस्टिंग नियंत्रण पैनल पासवर्ड, और किसी भी API कुंजी या SSH कुंजी को घुमाएं जो संभावित रूप से उजागर हो गई हैं।.
   • समझौते के संकेतों (IoCs) की खोज करें - देखें पहचान अनुभाग।.
4. प्लगइन को अस्थायी रूप से निष्क्रिय करें यदि आप एक विश्वसनीय वर्चुअल पैच लागू नहीं कर सकते हैं:

   wp प्लगइन निष्क्रिय करें cf-image-resizing

   नोट: यदि आप प्लगइन पर निर्भर हैं तो यह छवि आकार बदलने की कार्यक्षमता को प्रभावित कर सकता है।.

5. निगरानी बढ़ाएँ — वेब सर्वर एक्सेस लॉग, त्रुटि लॉग, और किसी भी WAF या IDS अलर्ट को स्पाइक्स या संदिग्ध अनुरोधों के लिए देखें।.

WAF / वर्चुअल पैचिंग मार्गदर्शन

यदि पैचिंग परीक्षण या रखरखाव के लिए विलंबित है, तो आपातकालीन उपाय के रूप में वर्चुअल पैचिंग का उपयोग करें। लक्ष्य प्लगइन नामस्थान के लिए प्रमाणीकरण रहित अनुरोधों को ब्लॉक करना और RCE (कोडित PHP, PHP रैपर, संदिग्ध फ़ंक्शन नाम) के अनुरूप पेलोड का पता लगाना/अस्वीकृत करना है।.

एक स्तरित दृष्टिकोण लागू करें:

• प्लगइन नामस्थान या एंडपॉइंट्स को लक्षित करने वाले REST API अनुरोधों को ब्लॉक करें।.
• RCE के लिए सामान्यतः उपयोग किए जाने वाले पेलोड पैटर्न को ब्लॉक करें (base64-encoded PHP, php://, system(, exec(, बैकटिक्स, अप्रत्याशित वर्ग नामों के साथ सीरियलाइज्ड PHP)।.
• यदि संभव हो तो विश्वसनीय IPs के लिए सर्वर-स्तर (nginx/Apache) पर संवेदनशील REST पथों तक पहुंच को प्रतिबंधित करें।.

ModSecurity उदाहरण (चित्रात्मक)

SecRule REQUEST_URI "@beginsWith /wp-json/cf-image-resizing" "id:100001,phase:1,deny,log,status:403,msg:'cf-image-resizing के लिए संदिग्ध REST अनुरोध को ब्लॉक किया गया',severity:2"

Nginx स्निपेट — प्लगइन REST एंडपॉइंट को प्रतिबंधित करें

location ~* ^/wp-json/cf-image-resizing/ {

या केवल विश्वसनीय IP रेंज की अनुमति दें:

location ~* ^/wp-json/cf-image-resizing/ {

Apache (.htaccess) — प्लगइन REST पथ तक पहुंच को अस्वीकार करें

<If "%{REQUEST_URI} =~ m#^/wp-json/cf-image-resizing/#">
    Require all denied
</If>

वर्डप्रेस-स्तर का फ़िल्टर (अस्थायी mu-plugin)

बनाएँ wp-content/mu-plugins/block-cf-rest.php प्लगइन नामस्थान तक अनधिकृत पहुंच को अस्वीकार करने के लिए:

<?php
add_filter('rest_authentication_errors', function($result) {
    if ( ! empty($result) ) {
        return $result;
    }

    $request = rest_get_server()->get_request();
    $route = $request->get_route();

    if (strpos($route, '/cf-image-resizing/') === 0) {
        return new WP_Error('rest_forbidden', 'Access to this endpoint is temporarily disabled', array('status' => 403));
    }

    return $result;
}, 90);

प्लगइन को अपडेट करने और साइट की कार्यक्षमता की पुष्टि करने के बाद इस अस्थायी फ़िल्टर को हटा दें।.

पहचान: समझौते के संकेत (IoCs) और लॉग पैटर्न

इन संकेतों की तलाश करें जो शोषण का संकेत दे सकते हैं:

• अनुरोध /wp-json/cf-image-resizing/* असामान्य IPs से या छोटे समय में विभिन्न IPs की बड़ी संख्या से।.
• JSON बॉडी के साथ POST अनुरोध जो एन्कोडेड/ओबफस्केटेड पेलोड्स (base64, gzinflate, php://input) को शामिल करते हैं।.
• लिखने योग्य निर्देशिकाओं (uploads, wp-content/uploads, wp-includes, plugins) में नए या संशोधित PHP फ़ाइलें - फ़ाइलें मीडिया के रूप में छिपी हुई लेकिन PHP कोड शामिल करती हैं।.
• अनधिकृत व्यवस्थापक उपयोगकर्ता निर्माण।.
• नए क्रोन कार्य या अप्रत्याशित अनुसूचित कार्य।.
• वेब सर्वर से संदिग्ध IPs या डोमेन के लिए आउटबाउंड कनेक्शन।.
• ऊंचे स्तर की त्रुटि लॉग जो eval(), include() के साथ अप्रत्याशित पथ दिखाते हैं, या शेल कमांड के निशान।.

सुझाए गए लॉग क्वेरी

# पिछले 7 दिनों में प्लगइन पथ पर REST हिट खोजें .

फोरेंसिक चेकलिस्ट (यदि आप समझौते का संदेह करते हैं)

1. सबूत को संरक्षित करें: डिस्क और डेटाबेस का स्नैपशॉट लें, पूर्ण लॉग को संरक्षित करें (लिखने-सुरक्षित प्रतियां)।.
2. साइट को अलग करें: ऑफ़लाइन लें या अविश्वसनीय ट्रैफ़िक को ब्लॉक करें।.
3. दायरा पहचानें: कौन सी फ़ाइलें और उपयोगकर्ता बदले गए; गतिविधि का समयरेखा।.
4. बैकडोर और दुर्भावनापूर्ण फ़ाइलें हटाएं: वेबशेल और अज्ञात PHP फ़ाइलों की जांच करें और हटाएं।.
5. क्रेडेंशियल्स को घुमाएं: वर्डप्रेस व्यवस्थापक, डेटाबेस, होस्टिंग नियंत्रण पैनल, SSH कुंजी, API टोकन।.
6. स्कैन और साफ करें: कई उपकरणों और मैनुअल सत्यापन का उपयोग करें।.
7. यदि आवश्यक हो तो ज्ञात-गुणवत्ता बैकअप से पुनर्स्थापित करें।.
8. पैच लागू करें (1.5.7+), वातावरण को मजबूत करें, और पुनरावृत्ति के लिए निगरानी करें।.
9. यदि संवेदनशील डेटा उजागर हुआ है तो कानूनी/नियामक प्रकटीकरण प्रक्रियाओं का पालन करें।.

यदि आपके पास इन-हाउस घटना प्रतिक्रिया क्षमता की कमी है, तो तुरंत एक विश्वसनीय सुरक्षा पेशेवर को शामिल करें - समय महत्वपूर्ण है।.

हार्डनिंग सिफारिशें (अपडेट के बाद)

• वर्डप्रेस कोर, थीम और प्लगइन्स को अपडेट रखें। स्वचालित छोटे अपडेट सक्षम करें और बड़े परिवर्तनों के लिए नियंत्रित रखरखाव का कार्यक्रम बनाएं।.
• प्लगइन इंस्टॉलेशन को विश्वसनीय, सक्रिय रूप से बनाए रखे जाने वाले प्लगइन्स तक सीमित करें। अप्रयुक्त प्लगइन्स और थीम को हटा दें।.
• फ़ाइल सिस्टम अनुमतियों को प्रतिबंधित करें - वेब सर्वर उपयोगकर्ता के लिए व्यापक लेखन अनुमतियों से बचें।.
• REST API पहुंच को सीमित करें: उन एंडपॉइंट्स को ब्लॉक करें जिन्हें सार्वजनिक होने की आवश्यकता नहीं है।.
• वर्डप्रेस उपयोगकर्ताओं के लिए न्यूनतम विशेषाधिकार लागू करें; व्यवस्थापक खाते का दैनिक उपयोग करने से बचें।.
• निगरानी और घटना पहचान बनाए रखें (लॉग संग्रहण, संदिग्ध गतिविधियों के लिए अलर्ट)।.
• नियमित रूप से कोड और डेटाबेस का बैकअप लें और पुनर्स्थापन प्रक्रियाओं का परीक्षण करें।.

अनुशंसित शमन दृष्टिकोण (सामान्य प्रतिक्रिया)

एक स्तरित रक्षा रणनीति अपनाएं:

• आपातकालीन containment: प्लगइन को अपडेट करें या कमजोर REST पथों के लिए सर्वर-स्तरीय अस्वीकृति नियम लागू करें।.
• आभासी पैचिंग: शोषण पैटर्न को ब्लॉक करने के लिए अस्थायी WAF या सर्वर नियम।.
• पहचान और सफाई: वेबशेल के लिए स्कैन करें, बैकडोर हटाएं, क्रेडेंशियल्स को घुमाएं।.
• घटना के बाद की हार्डनिंग: अनुमतियाँ, निगरानी, प्रतिबंधित REST एक्सपोजर।.

अब जोड़ने के लिए खतरा शिकार और निगरानी नियम

• POST अनुरोधों पर अलर्ट करें /wp-json/cf-image-resizing/ जिनके शरीर में शामिल हैं base64_decode, eval, gzinflate, php://input, <?php, सिस्टम(, exec(.
• निर्धारित परिवर्तन विंडो के बाहर नए व्यवस्थापक उपयोगकर्ता निर्माण को फ्लैग करें।.
• REST एंडपॉइंट्स पर 403/5xx प्रतिक्रियाओं के स्पाइक्स को सहसंबंधित करें - जो अक्सर स्कैनिंग/शोषण के दौरान देखे जाते हैं।.
• में नए PHP फ़ाइलों पर नज़र रखें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं। या डबल एक्सटेंशन वाली फ़ाइलें (जैसे, छवि.jpg.php).
• वेब सर्वर से नए बाहरी आईपी और डोमेन के लिए आउटगोइंग कनेक्शनों की निगरानी करें।.

पुनर्प्राप्ति और घटना के बाद की क्रियाएँ

1. एक साफ बैकअप से पुनर्स्थापित करें या साइट और होस्ट को पूरी तरह से साफ करें।.
2. किसी भी समझौता किए गए क्रेडेंशियल्स (DB, WordPress, होस्टिंग, API कुंजी) को बदलें।.
3. प्लगइन को 1.5.7 या बाद के संस्करण में पैच करें।.
4. वातावरण में व्यापक स्कैन करें: कंटेनर, होस्ट OS, क्रॉन जॉब्स, और बैकडोर के लिए डेटाबेस।.
5. यदि निजी कुंजियाँ उजागर हो गई हैं तो TLS प्रमाणपत्रों को फिर से जारी करें।.
6. स्थानीय अनुपालन आवश्यकताओं के अनुसार होस्टिंग प्रदाता और प्रभावित पक्षों को सूचित करें।.
7. पुनः-संक्रमण के प्रयासों का पता लगाने के लिए निगरानी और सुरक्षा में सुधार करें।.

त्वरित पहचान कमांड और जांच

# प्लगइन संस्करण जांचें

सामान्य प्रश्न

प्रश्न: मैंने 1.5.7 में अपडेट किया - क्या मैं सुरक्षित हूँ?
उत्तर: 1.5.7 में अपडेट करना अंतर्निहित भेद्यता को ठीक करता है। हालाँकि, यदि आपकी साइट पहले से ही अपडेट से पहले समझौता की गई थी, तो बैकडोर और अनधिकृत परिवर्तन बने रह सकते हैं। फोरेंसिक चेकलिस्ट का पालन करें और साइट को स्कैन करें।.

प्रश्न: अगर मैं अपडेट नहीं कर सकता (कस्टम कोड निर्भरता) तो क्या होगा?
उत्तर: प्लगइन के REST एंडपॉइंट्स तक पहुँच को अवरुद्ध करने के लिए वर्चुअल पैचिंग (सर्वर/WAF नियम) लागू करें या अपडेट का परीक्षण और योजना बनाते समय प्लगइन को अस्थायी रूप से निष्क्रिय करें।.

प्रश्न: क्या REST अनुरोधों को ब्लॉक करना वैध छवि कार्यक्षमता को बाधित करेगा?
उत्तर: आक्रामक ब्लॉकिंग वैध कार्यक्षमता को प्रभावित कर सकती है। प्लगइन-विशिष्ट REST पथों पर बिना प्रमाणीकरण वाले कॉल को ब्लॉक करने का लक्ष्य रखें और पूर्ण ब्लॉकिंग से पहले पहचान-केवल मोड में नियमों का स्पष्ट परीक्षण करें जब संभव हो।.

अंतिम चेकलिस्ट (कॉपी करने योग्य)

• [ ] तुरंत cf-image-resizing को 1.5.7 (या बाद में) अपडेट करें।.
• [ ] यदि अपडेट संभव नहीं है, तो /wp-json/cf-image-resizing/ और संदिग्ध पेलोड को ब्लॉक करने के लिए सर्वर-स्तरीय या WAF नियम लागू करें।.
• [ ] REST API हिट और संदिग्ध अनुरोध निकायों के लिए लॉग की जांच करें।.
• [ ] नए बनाए गए व्यवस्थापक उपयोगकर्ताओं, संशोधित फ़ाइलों और अप्रत्याशित क्रोन कार्यों की खोज करें।.
• [ ] यदि समझौता होने का संदेह है, तो साक्ष्य का बैकअप लें और सुरक्षित रखें।.
• [ ] क्रेडेंशियल्स को घुमाएं और अपने वातावरण को मजबूत करें।.
• [ ] पुनः-संक्रमण के प्रयासों को पहचानने के लिए निगरानी और पहचान नियम लागू करें।.

यदि आपको इन सीमित उपायों को लागू करने, फोरेंसिक जांच करने या पुनर्प्राप्ति करने में सहायता की आवश्यकता है, तो तुरंत एक योग्य घटना प्रतिक्रिया या सुरक्षा पेशेवर से संपर्क करें। हांगकांग और व्यापक एशिया-प्रशांत क्षेत्र में, समय पर सीमित करना और साक्ष्य का संरक्षण नुकसान को सीमित करने और नियामक दायित्वों को पूरा करने के लिए आवश्यक है।.

सतर्क रहें - अभी पैच करें और अपने वातावरण की पुष्टि करें।.