Summary: A high-severity Local File Inclusion (LFI) vulnerability (CVE-2026-22344) was publicly reported affecting the FiveStar WordPress theme (versions ≤ 1.7). The vulnerability is exploitable by unauthenticated attackers and has a CVSS score in the high range. If your site uses this theme, act now: follow the detection and mitigation steps below to reduce risk while you await a vendor patch or switch themes.

यह क्यों महत्वपूर्ण है (संक्षिप्त व्याख्या)

Local File Inclusion (LFI) lets attackers instruct PHP to include local filesystem files and return their contents. When combined with weak permissions or other flaws, LFI may expose wp-config.php, API keys, and other secrets — and can lead to remote code execution (RCE) or full site takeover. The reported issue affects FiveStar (≤ 1.7) and is exploitable without authentication, so immediate mitigations are required for any affected site.

हमें क्या पता है (तकनीकी सारांश)

• सुरक्षा कमजोरी का प्रकार: स्थानीय फ़ाइल समावेश (LFI)
• प्रभावित सॉफ़्टवेयर: फाइवस्टार वर्डप्रेस थीम
• प्रभावित संस्करण: ≤ 1.7
• CVE: CVE-2026-22344
• आवश्यक विशेषाधिकार: कोई नहीं (बिना प्रमाणीकरण)
• CVSS (रिपोर्ट किया गया): 8.1 (उच्च)
• रिपोर्ट की गई प्रकटीकरण तिथि: फरवरी 2026

LFI का मूल कारण आमतौर पर असुरक्षित फ़ाइलों का समावेश (include/require) है जो अस्वच्छ इनपुट का उपयोग करते हैं। हमलावर डायरेक्टरी ट्रैवर्सल (जैसे, ../../../../wp-config.php) या रैपर जैसे php://filter का उपयोग करके फ़ाइलों को पढ़ या संशोधित कर सकते हैं।.

नोट: सार्वजनिक प्रकटीकरण के समय थीम के कुछ वितरणों में अभी तक आधिकारिक पैच उपलब्ध नहीं हो सकता है। यह कॉन्फ़िगरेशन परिवर्तनों, थीम हटाने, या आभासी पैचिंग के माध्यम से त्वरित शमन को आवश्यक बनाता है।.

साइट मालिकों के लिए तत्काल जोखिम

• बिना प्रमाणीकरण वाले हमलावर संवेदनशील फ़ाइलों को पढ़ सकते हैं (जैसे, wp-config.php) और डेटाबेस क्रेडेंशियल्स या सॉल्ट्स चुरा लें।.
• LFI को फ़ाइल अपलोड या लिखने की कार्यक्षमता के साथ जोड़कर कोड निष्पादन प्राप्त किया जा सकता है।.
• LFI के माध्यम से उजागर बैकअप या अन्य संवेदनशील फ़ाइलें रहस्य लीक कर सकती हैं।.
• सार्वजनिक प्रकटीकरण के बाद स्वचालित स्कैनिंग और शोषण तेजी से शुरू हो सकता है।.

Treat any site using FiveStar (≤ 1.7) as at risk until mitigations are applied.

त्वरित चेकलिस्ट - इसे अभी करें (क्रमबद्ध)

1. प्रभावित साइटों की पहचान करें:
   • Dashboard: Appearance → Themes — check for “FiveStar” and version.
   • यदि आप लॉग इन नहीं कर सकते हैं, तो फ़ाइल सिस्टम की जांच करें: wp-content/themes/fivestar/style.css या चलाएँ:

     grep -R "Theme Name: FiveStar" -n wp-content/themes || true

2. यदि संभव हो तो साइट को रखरखाव/पढ़ने-के-लिए-केवल मोड में डालें, विशेष रूप से उन साइटों के लिए जो संवेदनशील लेनदेन संभालती हैं।.
3. अभी एक पूर्ण बैकअप (फ़ाइलें + डेटाबेस) लें और इसे ऑफ़लाइन/ऑफसाइट स्टोर करें।.
4. यदि FiveStar सक्रिय है:
   • तुरंत थीम को निष्क्रिय करें और एक विश्वसनीय थीम (उदाहरण के लिए एक वर्डप्रेस डिफ़ॉल्ट) पर स्विच करें जब तक कि समस्या हल न हो जाए।.
   • थीम फ़ोल्डर को हटाने से पहले किसी भी अनुकूलन को ऑफ़लाइन सुरक्षित रखें।.
5. यदि आप तुरंत थीम को निष्क्रिय/हटाने में असमर्थ हैं:
   • LFI पैटर्न के साथ अनुरोधों को अवरुद्ध करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या होस्ट फ़ायरवॉल का उपयोग करें (नीचे रक्षा नियम देखें)।.
   • फ़ाइल अनुमतियों को मजबूत करें और विश्व-लेखनीय फ़ाइलों को हटा दें।.
6. सभी संवेदनशील क्रेडेंशियल्स को घुमाएँ: वर्डप्रेस व्यवस्थापक पासवर्ड, डेटाबेस उपयोगकर्ता पासवर्ड, और सर्वर पर संग्रहीत कोई भी API कुंजी। यदि wp-config.php यदि उजागर हो सकता है, तो तुरंत DB क्रेडेंशियल्स को घुमाएँ।.
7. समझौते के संकेतों (IOCs) के लिए स्कैन करें - नीचे दिए गए पहचान अनुभाग को देखें।.
8. यदि आप सक्रिय शोषण का पता लगाते हैं, तो साइट को सीमित करें और एक घटना प्रतिक्रिया प्रदाता को संलग्न करें।.

How to detect attempts and compromise (symptoms & logs)

LFI संकेतों के लिए वेब सर्वर लॉग खोजें:

• अनुरोध जो यात्रा अनुक्रमों को शामिल करते हैं जैसे ../ या एन्कोडेड समकक्ष (%2e%2e%2f).
• पैरामीटर जिसमें शामिल हैं php://filter, रैपर और फ़िल्टर को अस्वीकार करें:, अपेक्षा:, zip://, शून्य बाइट %00, या फ़ाइल नाम जैसे /etc/passwd, wp-config.php.
• एक ही IP से विभिन्न-पथ अनुरोधों की पुनरावृत्ति।.

उदाहरण लॉग क्वेरी:

grep -E "(%2e%2e|(\.\./)|php://|wp-config.php|/etc/passwd|%00|php%3A//)" /var/log/apache2/access.log*

grep -E "(%2e%2e|(\.\./)|php://|wp-config.php|/etc/passwd|%00|php%3A//)" /var/log/nginx/access.log*

अन्य संकेत:

• नए/संशोधित फ़ाइलें जो आपने नहीं बनाई (वेब शेल अक्सर छोटे/यादृच्छिक नाम होते हैं)।.
• अप्रत्याशित व्यवस्थापक उपयोगकर्ता 7. wp_users.
• बड़े डेटा निर्यात, DB डंप, या असामान्य DB क्वेरी।.
• संशोधित wp-config.php या में नए फ़ाइलें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।.
• अजीब घंटों में CPU या नेटवर्क स्पाइक्स।.

रक्षा उपाय जो आप तुरंत लागू कर सकते हैं (वर्चुअल पैच / WAF नियम)

जब विक्रेता पैच अभी उपलब्ध नहीं है, तो किनारे पर वर्चुअल पैचिंग अक्सर सबसे तेज़ समाधान होता है। नीचे सामान्य LFI शोषण पैटर्न को अवरुद्ध करने के लिए रक्षा नियम और उदाहरण दिए गए हैं। इन पैटर्न को झूठे सकारात्मक से बचने के लिए ट्यून किया जाना चाहिए - जहां संभव हो, पहले स्टेजिंग पर परीक्षण करें।.

सामान्य अवरोध नियम (संकल्पना)

• पथ यात्रा संकेतों को शामिल करने वाले अनुरोधों को अस्वीकार करें: ../, ..%2f, ..%5c, या डबल-कोडित समकक्ष।.
• संवेदनशील फ़ाइल नामों के लिए ब्लॉक संदर्भ: wp-config.php, /etc/passwd, /proc/self/environ, .env, बैकअप पैटर्न (.sql, .zip, .tar.gz, .bak).
• प्रोटोकॉल रैपर को ब्लॉक करें: php://, रैपर और फ़िल्टर को अस्वीकार करें:, zip://, expect://, फ़ाइल://.
• शून्य बाइट अनुक्रम को ब्लॉक करें (%00).
• पूर्ण पथ संकेतकों को ब्लॉक करें (जैसे, /var/www/, C:\).

उदाहरण ModSecurity नियम स्निपेट (रक्षात्मक)

इन्हें एक प्रारंभिक बिंदु के रूप में उपयोग करें और अपने वातावरण के अनुसार अनुकूलित करें:

# Block typical path traversal with file names
SecRule ARGS|REQUEST_URI "@rx \.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c" \
    "id:1001001,phase:2,deny,status:403,msg:'Blocked path traversal attempt',log"

# Block access to wp-config.php, /etc/passwd, and other sensitive files via parameters
SecRule ARGS|REQUEST_URI "@rx (wp-config\.php|/etc/passwd|/proc/self/environ|\.env|\.sql|\.bak|\.tar\.gz|\.zip)" \
    "id:1001002,phase:2,deny,status:403,msg:'Blocked sensitive file access attempt',log"

# Block protocol wrappers in input
SecRule ARGS|REQUEST_URI "@rx (php://|data:|expect://|zip://|file://)" \
    "id:1001003,phase:2,deny,status:403,msg:'Blocked protocol wrapper in request',log"

# Block null byte injection
SecRule ARGS|REQUEST_URI "@contains %00" \
    "id:1001004,phase:2,deny,status:403,msg:'Blocked null byte in request',log"

Nginx स्थान-आधारित ब्लॉकिंग (nginx.conf)

स्पष्ट रूप से शोषण प्रयासों को कम करने के लिए सरल Nginx स्निपेट — वैध ट्रैफ़िक को बाधित करने से बचने के लिए सावधानी से परीक्षण करें:

# inside server block
if ($request_uri ~* "(?:\.\./|%2e%2e%2f|php://|/etc/passwd|wp-config\.php|%00)") {
    return 403;
}

वर्डप्रेस-स्तरीय वर्कअराउंड

• सार्वजनिक रूप से सुलभ थीम फ़ाइलों को हटा दें या अक्षम करें जो अनुरोध इनपुट के आधार पर अन्य फ़ाइलों को शामिल करती हैं।.
• यदि थीम एक शामिल अंत बिंदु को उजागर करती है (उदाहरण के लिए inc/load.php?file=...), इसे हटा दें या मजबूत करें: अनुमत फ़ाइलों की एक सख्त श्वेतसूची लागू करें और कभी भी उपयोगकर्ता इनपुट को सीधे शामिल न करें।.

सर्वर को मजबूत करने और फ़ाइल अनुमतियों की सिफारिशें

• सुनिश्चित करें wp-config.php विश्व-पठनीय नहीं है (उदाहरण के लिए chmod 640 सही स्वामित्व के साथ)।.
• PHP के निष्पादन को रोकें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।:

  Deny from all

# Nginx:

• अत्यधिक अनुमति देने वाली अनुमतियों से बचें (कोई 777 निर्देशिकाएँ)।.
• खतरनाक PHP फ़ंक्शंस को अक्षम करने पर विचार करें (जैसे, exec, shell_exec, सिस्टम) सावधानी से — इससे वैध कोड टूट सकता है।.

थीम को सुरक्षित रूप से हटाने और अनुकूलन को बनाए रखने का तरीका

1. थीम फ़ोल्डर का बैकअप लें:

   cp -a wp-content/themes/fivestar /root/offline-backups/fivestar-2026-02-12

2. एक डिफ़ॉल्ट थीम पर स्विच करें (डैशबोर्ड या WP-CLI):

   wp theme activate twentytwentyone

3. कमजोर थीम को हटाएं:

   rm -rf wp-content/themes/fivestar

4. 1. किसी भी कस्टम फ़ाइलों को एक सुरक्षित स्थान पर ले जाएं और पुन: उपयोग से पहले उन्हें असुरक्षित के लिए समीक्षा करें। include() 2. उपयोग।.

3. शोषण का प्रमाण - सामान्य IOC

• 4. wp-content/themes/*/ में छिपा हुआ PHP या base64 पेलोड 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।, 5. , या साइट रूट।, 6. वेब शेल (eval/base64/etc. के साथ छोटे PHP फ़ाइलें)।.
• 7. संदिग्ध क्रोन जॉब्स या अप्रत्याशित WP-Cron प्रविष्टियाँ।.
• अप्रत्याशित व्यवस्थापक खाते।.
• 8. वेब सर्वर से अज्ञात IPs/डोमेन के लिए आउटबाउंड कनेक्शन।.
• 9. घटना प्रतिक्रिया: यदि आप समझौते का संदेह करते हैं.

10. अलग करें: साइट को ऑफ़लाइन करें या होस्ट/क्लाउड स्तर पर बाहरी ट्रैफ़िक को ब्लॉक करें।

1. 11. संरक्षित करें: फोरेंसिक्स के लिए लॉग (एक्सेस/त्रुटि), डेटाबेस डंप, और फ़ाइल सिस्टम स्नैपशॉट एकत्र करें।.
2. 12. क्रेडेंशियल्स को घुमाएँ: DB क्रेडेंशियल्स, API कुंजी, व्यवस्थापक पासवर्ड - नई कुंजी उत्पन्न करें और पुरानी को रद्द करें।.
3. 13. यदि उपलब्ध हो तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.
4. साफ करें या पुनर्स्थापित करें:
   • 14. यदि संभव नहीं है, तो पूर्ण मैलवेयर सफाई करें: वेब शेल हटा दें, PHP फ़ाइलों का निरीक्षण करें, और शुद्ध स्रोतों से पुनर्निर्माण करें।.
   • 15. यदि हमलावरों को शेल एक्सेस था या यदि स्थायी बैकडोर पाए जाते हैं तो सर्वर को पुनर्निर्माण करें।.
5. 16. स्थिरता के लिए शिकार करें: जांचें.
6. 17. , संशोधित मु-प्लगइन्स, 18. , परिवर्तित wp-config.php, 19. , या अनुसूचित कार्य। .htaccess, या निर्धारित कार्य।.
7. हितधारकों के साथ संवाद करें और किसी भी प्रकटीकरण या उल्लंघन सूचना दायित्वों का पालन करें।.
8. सफाई के बाद, इस गाइड में वर्णित हार्डनिंग और निगरानी लागू करें।.

दीर्घकालिक सुधार और रोकथाम

• कमजोर थीम को बदलें या अपडेट करें। यदि विक्रेता एक पैच जारी करता है, तो इसे जल्दी से परीक्षण करें और लागू करें।.
• यदि आप विक्रेता पर भरोसा नहीं कर सकते हैं, तो थीम को हटा दें और समर्थित विकल्प पर माइग्रेट करें।.
• WordPress कोर, थीम और प्लगइन्स को अपडेट रखें।.
• परतदार रक्षा अपनाएं: WAF/एज फ़िल्टरिंग, फ़ाइल अखंडता निगरानी (FIM), नियमित मैलवेयर स्कैन, और ऑफ़साइट एन्क्रिप्टेड बैकअप।.
• DB उपयोगकर्ताओं के लिए न्यूनतम विशेषाधिकार का उपयोग करें और कड़े फ़ाइल अनुमतियों को लागू करें।.
• समय-समय पर सुरक्षा ऑडिट करें और थीम/प्लगइन संस्करणों की संपत्ति सूची बनाए रखें।.

टीमें जल्दी कैसे प्रतिक्रिया कर सकती हैं (वर्चुअल पैचिंग और निगरानी)

सुरक्षा टीमें और होस्ट विक्रेता पैच की प्रतीक्षा करते समय हमले की सतह को कम करने के लिए एज पर लक्षित ब्लॉकिंग नियम लागू करें। प्रयासों का जल्दी पता लगाने के लिए वर्चुअल पैच को फ़ाइल-स्कैनिंग और निगरानी के साथ मिलाएं। झूठे सकारात्मक को कम करने के लिए हमेशा नियमों का परीक्षण करें।.

कैसे परीक्षण करें कि आपका WAF / नियम शोषण प्रयासों को रोक रहे हैं

• कमजोर थीम के साथ एक सुरक्षित स्टेजिंग वातावरण का उपयोग करें और अवरोधन की पुष्टि करने के लिए ट्रैवर्सल अनुक्रमों को शामिल करते हुए गैर-नाशक परीक्षण अनुरोध भेजें।.
• उत्पादन प्रणालियों के खिलाफ शोषण कोड निष्पादित न करें - केवल अलग परीक्षण का उपयोग करें।.
• अवरुद्ध प्रविष्टियों (HTTP 403) के लिए लॉग की जांच करें और वैध कार्यक्षमता को तोड़ने से बचने के लिए झूठे सकारात्मक की समीक्षा करें।.

अनुशंसित स्कैनिंग और निगरानी की आवृत्ति

• दैनिक: स्वचालित मैलवेयर स्कैन, WAF नियम स्वास्थ्य जांच, और बैकअप।.
• साप्ताहिक: लॉग समीक्षा और महत्वपूर्ण फ़ाइलों के लिए अखंडता जांच।.
• मासिक: थीम/प्लगइन का कमजोरियों का स्कैन, तीसरे पक्ष के कोड की रखरखाव स्थिति की समीक्षा, और अनुमतियों का ऑडिट।.
• किसी भी सुरक्षा घटना के बाद: लॉग की फोरेंसिक समीक्षा करें और घटना के दौरान खोजे गए WAF हस्ताक्षर जोड़ें।.

अक्सर पूछे जाने वाले प्रश्न (संक्षिप्त)

प्रश्न: क्या एक साइट का शोषण किया जा सकता है यदि FiveStar स्थापित है लेकिन सक्रिय नहीं है?

A: यदि थीम निष्क्रिय है तो जोखिम कम हो जाता है क्योंकि कई थीम फ़ाइलें निष्पादित नहीं होती हैं। हालाँकि, थीम में सार्वजनिक रूप से सुलभ फ़ाइलें अभी भी पहुँच योग्य हो सकती हैं। सबसे सुरक्षित कार्रवाई है कि यदि उपयोग में नहीं है तो कमजोर थीम फ़ाइलों को पूरी तरह से हटा दें।.

Q: क्या थीम को हटाने से मेरी साइट टूट जाएगी?

A: यदि थीम सक्रिय है और बिना स्विच किए हटा दी जाती है, तो वर्डप्रेस डिफ़ॉल्ट थीम पर वापस चला जाएगा। हटाने से पहले थीम स्विच करें और पहले अनुकूलन का निर्यात करें।.

प्रश्न: क्या WAF पर्याप्त है?

A: एक WAF आभासी पैचिंग के लिए एक महत्वपूर्ण परत है, लेकिन यह पैचिंग, सुरक्षित कॉन्फ़िगरेशन, और पूर्ण सुधार का विकल्प नहीं है यदि कोई समझौता हुआ है।.

व्यावहारिक “कैसे करें” — आदेश और जांच

# Check theme header for version
head -n 40 wp-content/themes/fivestar/style.css | sed -n '1,40p'

# Search logs for suspicious attempts
zgrep -iE "(\.\./|%2e%2e%2f|php://|wp-config\.php|/etc/passwd|%00)" /var/log/nginx/access.log* /var/log/apache2/access.log*

# Backup example
mysqldump -u wpuser -p wordpress_db > /root/backups/db-$(date +%F).sql
tar -czf /root/backups/wwwroot-$(date +%F).tgz /var/www/html

# Find recently changed PHP files (last 7 days)
find /var/www/html -type f -name '*.php' -mtime -7 -print

यदि आप कई साइटों की मेज़बानी करते हैं — अपनी प्रतिक्रिया का पैमाना बढ़ाएँ

• ज्ञात LFI पैटर्न को ब्लॉक करने के लिए अपने बेड़े में पैटर्न-आधारित ब्लॉकिंग लागू करें।.
• तत्काल समीक्षा और बैकअप के लिए कमजोर थीम का उपयोग करने वाली साइटों को प्राथमिकता दें।.
• उजागर साइटों की पहचान करने के लिए थीम/प्लगइन संस्करणों के साथ एक संपत्ति सूची बनाए रखें।.
• LFI संकेतकों से मेल खाने वाले असामान्य अनुरोध पैटर्न के लिए स्वचालित अलर्ट लागू करें।.

जिम्मेदार प्रकटीकरण और अपडेट पर एक संक्षिप्त नोट

सार्वजनिक प्रकटीकरण के बाद, हमलावर अक्सर तेजी से स्कैन करते हैं। यदि आप विक्रेता पैच का इंतजार कर रहे हैं, तो आभासी पैचिंग और सक्रिय हार्डनिंग सबसे सुरक्षित अंतरिम उपाय हैं। यदि आप थीम डेवलपर हैं या डेवलपर से संपर्क कर सकते हैं, तो प्रजनन विवरण को निजी रूप से प्रदान करें और समय पर पैच पर जोर दें।.

अंतिम शब्द — प्राथमिकता दें और अभी कार्य करें

This LFI is high-risk because it is unauthenticated and can expose files needed for full site control. If you run FiveStar (≤ 1.7), do not delay:

1. तुरंत बैकअप लें।.
2. जहाँ संभव हो, कमजोर थीम को निष्क्रिय या हटा दें।.
3. एज-स्तरीय ब्लॉकिंग नियम लागू करें और फ़ाइल अनुमतियों को मजबूत करें।.
4. समझौते के लिए स्कैन करें और क्रेडेंशियल्स को घुमाएँ।.
5. यदि विक्रेता पैचिंग धीमी है तो अनुकूलन को बदलें या फिर से काम करें।.

यदि आपको अपने वातावरण (Apache, Nginx, या क्लाउड WAF) के लिए एक अनुकूलित चेकलिस्ट या उदाहरण नियमों की आवश्यकता है, तो अपने सर्वर प्रकार और पहुँच विवरण के साथ उत्तर दें और हम अनुकूलित, सुरक्षित उदाहरण प्रदान करेंगे।.