सारांश: एक उच्च-गंभीर स्थानीय फ़ाइल समावेश (LFI) सुरक्षा दोष (CVE-2026-22344) को सार्वजनिक रूप से रिपोर्ट किया गया है जो फाइवस्टार वर्डप्रेस थीम (संस्करण ≤ 1.7) को प्रभावित करता है। यह दोष बिना प्रमाणीकरण वाले हमलावरों द्वारा उपयोग किया जा सकता है और इसका CVSS स्कोर उच्च श्रेणी में है। यदि आपकी साइट इस थीम का उपयोग करती है, तो तुरंत कार्रवाई करें: नीचे दिए गए पहचान और शमन कदमों का पालन करें ताकि आप विक्रेता पैच की प्रतीक्षा करते समय जोखिम को कम कर सकें या थीम बदल सकें।.

यह क्यों महत्वपूर्ण है (संक्षिप्त व्याख्या)

स्थानीय फ़ाइल समावेश (LFI) हमलावरों को PHP को स्थानीय फ़ाइल सिस्टम फ़ाइलों को शामिल करने और उनकी सामग्री लौटाने के लिए निर्देशित करने की अनुमति देता है। जब इसे कमजोर अनुमतियों या अन्य दोषों के साथ मिलाया जाता है, तो LFI wp-config.php, API कुंजी और अन्य रहस्यों को उजागर कर सकता है — और दूरस्थ कोड निष्पादन (RCE) या पूर्ण साइट अधिग्रहण का कारण बन सकता है। रिपोर्ट की गई समस्या फाइवस्टार (≤ 1.7) को प्रभावित करती है और बिना प्रमाणीकरण के उपयोग की जा सकती है, इसलिए किसी भी प्रभावित साइट के लिए तत्काल शमन आवश्यक है।.

हमें क्या पता है (तकनीकी सारांश)

• सुरक्षा कमजोरी का प्रकार: स्थानीय फ़ाइल समावेश (LFI)
• प्रभावित सॉफ़्टवेयर: फाइवस्टार वर्डप्रेस थीम
• प्रभावित संस्करण: ≤ 1.7
• CVE: CVE-2026-22344
• आवश्यक विशेषाधिकार: कोई नहीं (बिना प्रमाणीकरण)
• CVSS (रिपोर्ट किया गया): 8.1 (उच्च)
• रिपोर्ट की गई प्रकटीकरण तिथि: फरवरी 2026

LFI का मूल कारण आमतौर पर असुरक्षित फ़ाइलों का समावेश (include/require) है जो अस्वच्छ इनपुट का उपयोग करते हैं। हमलावर डायरेक्टरी ट्रैवर्सल (जैसे, ../../../../wp-config.php) या रैपर जैसे php://filter का उपयोग करके फ़ाइलों को पढ़ या संशोधित कर सकते हैं।.

नोट: सार्वजनिक प्रकटीकरण के समय थीम के कुछ वितरणों में अभी तक आधिकारिक पैच उपलब्ध नहीं हो सकता है। यह कॉन्फ़िगरेशन परिवर्तनों, थीम हटाने, या आभासी पैचिंग के माध्यम से त्वरित शमन को आवश्यक बनाता है।.

साइट मालिकों के लिए तत्काल जोखिम

• बिना प्रमाणीकरण वाले हमलावर संवेदनशील फ़ाइलों को पढ़ सकते हैं (जैसे, wp-config.php) और डेटाबेस क्रेडेंशियल्स या सॉल्ट्स चुरा लें।.
• LFI को फ़ाइल अपलोड या लिखने की कार्यक्षमता के साथ जोड़कर कोड निष्पादन प्राप्त किया जा सकता है।.
• LFI के माध्यम से उजागर बैकअप या अन्य संवेदनशील फ़ाइलें रहस्य लीक कर सकती हैं।.
• सार्वजनिक प्रकटीकरण के बाद स्वचालित स्कैनिंग और शोषण तेजी से शुरू हो सकता है।.

किसी भी साइट को जो FiveStar (≤ 1.7) का उपयोग कर रही है, जोखिम में मानें जब तक कि उपाय लागू नहीं किए जाते।.

त्वरित चेकलिस्ट - इसे अभी करें (क्रमबद्ध)

1. प्रभावित साइटों की पहचान करें:
   • डैशबोर्ड: रूपरेखा → थीम - “FiveStar” और संस्करण के लिए जांचें।.
   • यदि आप लॉग इन नहीं कर सकते हैं, तो फ़ाइल सिस्टम की जांच करें: wp-content/themes/fivestar/style.css या चलाएँ:

     grep -R "Theme Name: FiveStar" -n wp-content/themes || true

2. यदि संभव हो तो साइट को रखरखाव/पढ़ने-के-लिए-केवल मोड में डालें, विशेष रूप से उन साइटों के लिए जो संवेदनशील लेनदेन संभालती हैं।.
3. अभी एक पूर्ण बैकअप (फ़ाइलें + डेटाबेस) लें और इसे ऑफ़लाइन/ऑफसाइट स्टोर करें।.
4. यदि FiveStar सक्रिय है:
   • तुरंत थीम को निष्क्रिय करें और एक विश्वसनीय थीम (उदाहरण के लिए एक वर्डप्रेस डिफ़ॉल्ट) पर स्विच करें जब तक कि समस्या हल न हो जाए।.
   • थीम फ़ोल्डर को हटाने से पहले किसी भी अनुकूलन को ऑफ़लाइन सुरक्षित रखें।.
5. यदि आप तुरंत थीम को निष्क्रिय/हटाने में असमर्थ हैं:
   • LFI पैटर्न के साथ अनुरोधों को अवरुद्ध करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या होस्ट फ़ायरवॉल का उपयोग करें (नीचे रक्षा नियम देखें)।.
   • फ़ाइल अनुमतियों को मजबूत करें और विश्व-लेखनीय फ़ाइलों को हटा दें।.
6. सभी संवेदनशील क्रेडेंशियल्स को घुमाएँ: वर्डप्रेस व्यवस्थापक पासवर्ड, डेटाबेस उपयोगकर्ता पासवर्ड, और सर्वर पर संग्रहीत कोई भी API कुंजी। यदि wp-config.php यदि उजागर हो सकता है, तो तुरंत DB क्रेडेंशियल्स को घुमाएँ।.
7. समझौते के संकेतों (IOCs) के लिए स्कैन करें - नीचे दिए गए पहचान अनुभाग को देखें।.
8. यदि आप सक्रिय शोषण का पता लगाते हैं, तो साइट को सीमित करें और एक घटना प्रतिक्रिया प्रदाता को संलग्न करें।.

प्रयासों और समझौते का पता कैसे लगाएँ (लक्षण और लॉग)

LFI संकेतों के लिए वेब सर्वर लॉग खोजें:

• अनुरोध जो यात्रा अनुक्रमों को शामिल करते हैं जैसे ../ या एन्कोडेड समकक्ष (%2e%2e%2f).
• पैरामीटर जिसमें शामिल हैं php://filter, रैपर और फ़िल्टर को अस्वीकार करें:, अपेक्षा:, zip://, शून्य बाइट %00, या फ़ाइल नाम जैसे /etc/passwd, wp-config.php.
• एक ही IP से विभिन्न-पथ अनुरोधों की पुनरावृत्ति।.

उदाहरण लॉग क्वेरी:

grep -E "(%2e%2e|(\.\./)|php://|wp-config.php|/etc/passwd|%00|php%3A//)" /var/log/apache2/access.log*

grep -E "(%2e%2e|(\.\./)|php://|wp-config.php|/etc/passwd|%00|php%3A//)" /var/log/nginx/access.log*

अन्य संकेत:

• नए/संशोधित फ़ाइलें जो आपने नहीं बनाई (वेब शेल अक्सर छोटे/यादृच्छिक नाम होते हैं)।.
• अप्रत्याशित व्यवस्थापक उपयोगकर्ता 7. wp_users.
• बड़े डेटा निर्यात, DB डंप, या असामान्य DB क्वेरी।.
• संशोधित wp-config.php या में नए फ़ाइलें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।.
• अजीब घंटों में CPU या नेटवर्क स्पाइक्स।.

रक्षा उपाय जो आप तुरंत लागू कर सकते हैं (वर्चुअल पैच / WAF नियम)

जब विक्रेता पैच अभी उपलब्ध नहीं है, तो किनारे पर वर्चुअल पैचिंग अक्सर सबसे तेज़ समाधान होता है। नीचे सामान्य LFI शोषण पैटर्न को अवरुद्ध करने के लिए रक्षा नियम और उदाहरण दिए गए हैं। इन पैटर्न को झूठे सकारात्मक से बचने के लिए ट्यून किया जाना चाहिए - जहां संभव हो, पहले स्टेजिंग पर परीक्षण करें।.

सामान्य अवरोध नियम (संकल्पना)

• पथ यात्रा संकेतों को शामिल करने वाले अनुरोधों को अस्वीकार करें: ../, ..%2f, ..%5c, या डबल-कोडित समकक्ष।.
• संवेदनशील फ़ाइल नामों के लिए ब्लॉक संदर्भ: wp-config.php, /etc/passwd, /proc/self/environ, .env, बैकअप पैटर्न (.sql, .zip, .tar.gz, .bak).
• प्रोटोकॉल रैपर को ब्लॉक करें: php://, रैपर और फ़िल्टर को अस्वीकार करें:, zip://, expect://, फ़ाइल://.
• शून्य बाइट अनुक्रम को ब्लॉक करें (%00).
• पूर्ण पथ संकेतकों को ब्लॉक करें (जैसे, /var/www/, C:\).

उदाहरण ModSecurity नियम स्निपेट (रक्षात्मक)

इन्हें एक प्रारंभिक बिंदु के रूप में उपयोग करें और अपने वातावरण के अनुसार अनुकूलित करें:

# Block typical path traversal with file names
SecRule ARGS|REQUEST_URI "@rx \.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c" \
    "id:1001001,phase:2,deny,status:403,msg:'Blocked path traversal attempt',log"

# Block access to wp-config.php, /etc/passwd, and other sensitive files via parameters
SecRule ARGS|REQUEST_URI "@rx (wp-config\.php|/etc/passwd|/proc/self/environ|\.env|\.sql|\.bak|\.tar\.gz|\.zip)" \
    "id:1001002,phase:2,deny,status:403,msg:'Blocked sensitive file access attempt',log"

# Block protocol wrappers in input
SecRule ARGS|REQUEST_URI "@rx (php://|data:|expect://|zip://|file://)" \
    "id:1001003,phase:2,deny,status:403,msg:'Blocked protocol wrapper in request',log"

# Block null byte injection
SecRule ARGS|REQUEST_URI "@contains %00" \
    "id:1001004,phase:2,deny,status:403,msg:'Blocked null byte in request',log"

Nginx स्थान-आधारित ब्लॉकिंग (nginx.conf)

स्पष्ट रूप से शोषण प्रयासों को कम करने के लिए सरल Nginx स्निपेट — वैध ट्रैफ़िक को बाधित करने से बचने के लिए सावधानी से परीक्षण करें:

# inside server block
if ($request_uri ~* "(?:\.\./|%2e%2e%2f|php://|/etc/passwd|wp-config\.php|%00)") {
    return 403;
}

वर्डप्रेस-स्तरीय वर्कअराउंड

• सार्वजनिक रूप से सुलभ थीम फ़ाइलों को हटा दें या अक्षम करें जो अनुरोध इनपुट के आधार पर अन्य फ़ाइलों को शामिल करती हैं।.
• यदि थीम एक शामिल अंत बिंदु को उजागर करती है (उदाहरण के लिए inc/load.php?file=...), इसे हटा दें या मजबूत करें: अनुमत फ़ाइलों की एक सख्त श्वेतसूची लागू करें और कभी भी उपयोगकर्ता इनपुट को सीधे शामिल न करें।.

सर्वर को मजबूत करने और फ़ाइल अनुमतियों की सिफारिशें

• सुनिश्चित करें wp-config.php विश्व-पठनीय नहीं है (उदाहरण के लिए chmod 640 सही स्वामित्व के साथ)।.
• PHP के निष्पादन को रोकें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।:

# Nginx:

• अत्यधिक अनुमति देने वाली अनुमतियों से बचें (कोई 777 निर्देशिकाएँ)।.
• खतरनाक PHP फ़ंक्शंस को अक्षम करने पर विचार करें (जैसे, exec, shell_exec, सिस्टम) सावधानी से — इससे वैध कोड टूट सकता है।.

थीम को सुरक्षित रूप से हटाने और अनुकूलन को बनाए रखने का तरीका

1. थीम फ़ोल्डर का बैकअप लें:

   cp -a wp-content/themes/fivestar /root/offline-backups/fivestar-2026-02-12

2. एक डिफ़ॉल्ट थीम पर स्विच करें (डैशबोर्ड या WP-CLI):

   wp theme activate twentytwentyone

3. कमजोर थीम को हटाएं:

   rm -rf wp-content/themes/fivestar

4. 1. किसी भी कस्टम फ़ाइलों को एक सुरक्षित स्थान पर ले जाएं और पुन: उपयोग से पहले उन्हें असुरक्षित के लिए समीक्षा करें। include() 2. उपयोग।.

3. शोषण का प्रमाण - सामान्य IOC

• 4. wp-content/themes/*/ में छिपा हुआ PHP या base64 पेलोड 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।, 5. , या साइट रूट।, 6. वेब शेल (eval/base64/etc. के साथ छोटे PHP फ़ाइलें)।.
• 7. संदिग्ध क्रोन जॉब्स या अप्रत्याशित WP-Cron प्रविष्टियाँ।.
• अप्रत्याशित व्यवस्थापक खाते।.
• 8. वेब सर्वर से अज्ञात IPs/डोमेन के लिए आउटबाउंड कनेक्शन।.
• 9. घटना प्रतिक्रिया: यदि आप समझौते का संदेह करते हैं.

10. अलग करें: साइट को ऑफ़लाइन करें या होस्ट/क्लाउड स्तर पर बाहरी ट्रैफ़िक को ब्लॉक करें।

1. 11. संरक्षित करें: फोरेंसिक्स के लिए लॉग (एक्सेस/त्रुटि), डेटाबेस डंप, और फ़ाइल सिस्टम स्नैपशॉट एकत्र करें।.
2. 12. क्रेडेंशियल्स को घुमाएँ: DB क्रेडेंशियल्स, API कुंजी, व्यवस्थापक पासवर्ड - नई कुंजी उत्पन्न करें और पुरानी को रद्द करें।.
3. 13. यदि उपलब्ध हो तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.
4. साफ करें या पुनर्स्थापित करें:
   • 14. यदि संभव नहीं है, तो पूर्ण मैलवेयर सफाई करें: वेब शेल हटा दें, PHP फ़ाइलों का निरीक्षण करें, और शुद्ध स्रोतों से पुनर्निर्माण करें।.
   • 15. यदि हमलावरों को शेल एक्सेस था या यदि स्थायी बैकडोर पाए जाते हैं तो सर्वर को पुनर्निर्माण करें।.
5. 16. स्थिरता के लिए शिकार करें: जांचें.
6. 17. , संशोधित मु-प्लगइन्स, 18. , परिवर्तित wp-config.php, 19. , या अनुसूचित कार्य। .htaccess, या निर्धारित कार्य।.
7. हितधारकों के साथ संवाद करें और किसी भी प्रकटीकरण या उल्लंघन सूचना दायित्वों का पालन करें।.
8. सफाई के बाद, इस गाइड में वर्णित हार्डनिंग और निगरानी लागू करें।.

दीर्घकालिक सुधार और रोकथाम

• कमजोर थीम को बदलें या अपडेट करें। यदि विक्रेता एक पैच जारी करता है, तो इसे जल्दी से परीक्षण करें और लागू करें।.
• यदि आप विक्रेता पर भरोसा नहीं कर सकते हैं, तो थीम को हटा दें और समर्थित विकल्प पर माइग्रेट करें।.
• WordPress कोर, थीम और प्लगइन्स को अपडेट रखें।.
• परतदार रक्षा अपनाएं: WAF/एज फ़िल्टरिंग, फ़ाइल अखंडता निगरानी (FIM), नियमित मैलवेयर स्कैन, और ऑफ़साइट एन्क्रिप्टेड बैकअप।.
• DB उपयोगकर्ताओं के लिए न्यूनतम विशेषाधिकार का उपयोग करें और कड़े फ़ाइल अनुमतियों को लागू करें।.
• समय-समय पर सुरक्षा ऑडिट करें और थीम/प्लगइन संस्करणों की संपत्ति सूची बनाए रखें।.

टीमें जल्दी कैसे प्रतिक्रिया कर सकती हैं (वर्चुअल पैचिंग और निगरानी)

सुरक्षा टीमें और होस्ट विक्रेता पैच की प्रतीक्षा करते समय हमले की सतह को कम करने के लिए एज पर लक्षित ब्लॉकिंग नियम लागू करें। प्रयासों का जल्दी पता लगाने के लिए वर्चुअल पैच को फ़ाइल-स्कैनिंग और निगरानी के साथ मिलाएं। झूठे सकारात्मक को कम करने के लिए हमेशा नियमों का परीक्षण करें।.

कैसे परीक्षण करें कि आपका WAF / नियम शोषण प्रयासों को रोक रहे हैं

• कमजोर थीम के साथ एक सुरक्षित स्टेजिंग वातावरण का उपयोग करें और अवरोधन की पुष्टि करने के लिए ट्रैवर्सल अनुक्रमों को शामिल करते हुए गैर-नाशक परीक्षण अनुरोध भेजें।.
• उत्पादन प्रणालियों के खिलाफ शोषण कोड निष्पादित न करें - केवल अलग परीक्षण का उपयोग करें।.
• अवरुद्ध प्रविष्टियों (HTTP 403) के लिए लॉग की जांच करें और वैध कार्यक्षमता को तोड़ने से बचने के लिए झूठे सकारात्मक की समीक्षा करें।.

अनुशंसित स्कैनिंग और निगरानी की आवृत्ति

• दैनिक: स्वचालित मैलवेयर स्कैन, WAF नियम स्वास्थ्य जांच, और बैकअप।.
• साप्ताहिक: लॉग समीक्षा और महत्वपूर्ण फ़ाइलों के लिए अखंडता जांच।.
• मासिक: थीम/प्लगइन का कमजोरियों का स्कैन, तीसरे पक्ष के कोड की रखरखाव स्थिति की समीक्षा, और अनुमतियों का ऑडिट।.
• किसी भी सुरक्षा घटना के बाद: लॉग की फोरेंसिक समीक्षा करें और घटना के दौरान खोजे गए WAF हस्ताक्षर जोड़ें।.

अक्सर पूछे जाने वाले प्रश्न (संक्षिप्त)

प्रश्न: क्या एक साइट का शोषण किया जा सकता है यदि FiveStar स्थापित है लेकिन सक्रिय नहीं है?

A: यदि थीम निष्क्रिय है तो जोखिम कम हो जाता है क्योंकि कई थीम फ़ाइलें निष्पादित नहीं होती हैं। हालाँकि, थीम में सार्वजनिक रूप से सुलभ फ़ाइलें अभी भी पहुँच योग्य हो सकती हैं। सबसे सुरक्षित कार्रवाई है कि यदि उपयोग में नहीं है तो कमजोर थीम फ़ाइलों को पूरी तरह से हटा दें।.

Q: क्या थीम को हटाने से मेरी साइट टूट जाएगी?

A: यदि थीम सक्रिय है और बिना स्विच किए हटा दी जाती है, तो वर्डप्रेस डिफ़ॉल्ट थीम पर वापस चला जाएगा। हटाने से पहले थीम स्विच करें और पहले अनुकूलन का निर्यात करें।.

प्रश्न: क्या WAF पर्याप्त है?

A: एक WAF आभासी पैचिंग के लिए एक महत्वपूर्ण परत है, लेकिन यह पैचिंग, सुरक्षित कॉन्फ़िगरेशन, और पूर्ण सुधार का विकल्प नहीं है यदि कोई समझौता हुआ है।.

व्यावहारिक “कैसे करें” — आदेश और जांच

# Check theme header for version
head -n 40 wp-content/themes/fivestar/style.css | sed -n '1,40p'

# Search logs for suspicious attempts
zgrep -iE "(\.\./|%2e%2e%2f|php://|wp-config\.php|/etc/passwd|%00)" /var/log/nginx/access.log* /var/log/apache2/access.log*

# Backup example
mysqldump -u wpuser -p wordpress_db > /root/backups/db-$(date +%F).sql
tar -czf /root/backups/wwwroot-$(date +%F).tgz /var/www/html

# Find recently changed PHP files (last 7 days)
find /var/www/html -type f -name '*.php' -mtime -7 -print

यदि आप कई साइटों की मेज़बानी करते हैं — अपनी प्रतिक्रिया का पैमाना बढ़ाएँ

• ज्ञात LFI पैटर्न को ब्लॉक करने के लिए अपने बेड़े में पैटर्न-आधारित ब्लॉकिंग लागू करें।.
• तत्काल समीक्षा और बैकअप के लिए कमजोर थीम का उपयोग करने वाली साइटों को प्राथमिकता दें।.
• उजागर साइटों की पहचान करने के लिए थीम/प्लगइन संस्करणों के साथ एक संपत्ति सूची बनाए रखें।.
• LFI संकेतकों से मेल खाने वाले असामान्य अनुरोध पैटर्न के लिए स्वचालित अलर्ट लागू करें।.

जिम्मेदार प्रकटीकरण और अपडेट पर एक संक्षिप्त नोट

सार्वजनिक प्रकटीकरण के बाद, हमलावर अक्सर तेजी से स्कैन करते हैं। यदि आप विक्रेता पैच का इंतजार कर रहे हैं, तो आभासी पैचिंग और सक्रिय हार्डनिंग सबसे सुरक्षित अंतरिम उपाय हैं। यदि आप थीम डेवलपर हैं या डेवलपर से संपर्क कर सकते हैं, तो प्रजनन विवरण को निजी रूप से प्रदान करें और समय पर पैच पर जोर दें।.

अंतिम शब्द — प्राथमिकता दें और अभी कार्य करें

यह LFI उच्च जोखिम वाला है क्योंकि यह अप्रमाणित है और पूर्ण साइट नियंत्रण के लिए आवश्यक फ़ाइलों को उजागर कर सकता है। यदि आप FiveStar (≤ 1.7) चला रहे हैं, तो देरी न करें:

1. तुरंत बैकअप लें।.
2. जहाँ संभव हो, कमजोर थीम को निष्क्रिय या हटा दें।.
3. एज-स्तरीय ब्लॉकिंग नियम लागू करें और फ़ाइल अनुमतियों को मजबूत करें।.
4. समझौते के लिए स्कैन करें और क्रेडेंशियल्स को घुमाएँ।.
5. यदि विक्रेता पैचिंग धीमी है तो अनुकूलन को बदलें या फिर से काम करें।.

यदि आपको अपने वातावरण (Apache, Nginx, या क्लाउड WAF) के लिए एक अनुकूलित चेकलिस्ट या उदाहरण नियमों की आवश्यकता है, तो अपने सर्वर प्रकार और पहुँच विवरण के साथ उत्तर दें और हम अनुकूलित, सुरक्षित उदाहरण प्रदान करेंगे।.