Urgent: Local File Inclusion (LFI) in R&F WordPress Theme (<= 1.5) — साइट मालिकों और डेवलपर्स को अब क्या करना चाहिए

Published 11 February 2026. Research credited to Tran Nguyen Bao Khanh (VCI – VNPT Cyber Immunity). This advisory is written by Hong Kong security practitioners to provide plain-language, practical steps for site owners, administrators and developers.

त्वरित सारांश (TL;DR)

• कमजोरियों: स्थानीय फ़ाइल समावेश (LFI)।.
• Affected software: R&F WordPress theme — versions ≤ 1.5.
• प्रमाणीकरण की आवश्यकता: कोई नहीं (अनधिकृत)।.
• जोखिम: उच्च (CVSS 8.1) — हमलावर संवेदनशील फ़ाइलों को पढ़ सकते हैं (उदाहरण के लिए, wp-config.php), और सर्वर कॉन्फ़िगरेशन और उपलब्ध रैपर या लॉग विषाक्तता के आधार पर दूरस्थ कोड निष्पादन के लिए चेन कर सकते हैं।.
• Published: 11 Feb 2026. Research credit: Tran Nguyen Bao Khanh (VCI – VNPT Cyber Immunity).
• आधिकारिक समाधान: प्रकाशन के समय उपलब्ध नहीं — तत्काल शमन की आवश्यकता है।.

If your site runs the R&F theme and you cannot immediately remove or update it, take defensive action now.

स्थानीय फ़ाइल समावेश (LFI) सुरक्षा दोष क्या है?

स्थानीय फ़ाइल समावेश तब होता है जब एप्लिकेशन कोड उपयोगकर्ता द्वारा प्रदान किए गए इनपुट का उपयोग करके स्थानीय फ़ाइल सिस्टम से फ़ाइलें लोड करता है बिना सख्त सत्यापन के। जब एक हमलावर शामिल/आवश्यक या अन्य पढ़ने/आउटपुट संचालन में उपयोग किए जाने वाले पथ को नियंत्रित करता है, तो वे एप्लिकेशन को मनमाने स्थानीय फ़ाइल सामग्री लौटाने के लिए मजबूर कर सकते हैं।.

LFI क्यों खतरनाक है

• रहस्यों का खुलासा: डेटाबेस क्रेडेंशियल, API कुंजी, कॉन्फ़िगरेशन फ़ाइलें (जैसे, wp-config.php).
• यदि सर्वर या PHP गलत कॉन्फ़िगर है तो वेब रूट के बाहर फ़ाइलों तक पहुंच।.
• लॉग विषाक्तता या PHP स्ट्रीम रैपर के माध्यम से दूरस्थ कोड निष्पादन (RCE) में वृद्धि की संभावना (उदाहरण के लिए, php://filter, php://input).
• स्वचालित करना अक्सर आसान होता है: स्कैनिंग उपकरण नियमित रूप से एक कमजोर एंडपॉइंट ज्ञात होने पर यात्रा पैटर्न की जांच करते हैं।.

Why this R&F theme LFI is urgent

• अनधिकृत शोषण: लॉगिन की आवश्यकता नहीं।.
• उच्च प्रभाव: पढ़ना wp-config.php अक्सर एक हमलावर को साइट पर कब्जा करने के लिए आवश्यक सब कुछ प्रदान करता है।.
• प्रकटीकरण के समय कोई विक्रेता पैच उपलब्ध नहीं: बिना पैच वाली साइटें तेजी से लक्षित होती हैं।.
• उच्च CVSS स्कोर (8.1) गंभीरता और संभावित चेनिंग अवसरों को दर्शाता है।.

एक हमलावर इसको कैसे शोषित कर सकता है (तकनीकी अवलोकन)

Below are typical LFI exploitation patterns to help detection and mitigation; the exact parameter for this R&F theme LFI was disclosed by the researcher.

1. एक एंडपॉइंट खोजें जो उपयोगकर्ता इनपुट के आधार पर शामिल/आवश्यक या फ़ाइल पढ़ने के संचालन करता है - थीम नियंत्रक फ़ाइलें, AJAX एंडपॉइंट, टेम्पलेट लोडर सामान्य हैं।.
2. पथ-क्रॉसिंग पेलोड्स जैसे सबमिट करें ../../../../ (या URL-कोडित रूप जैसे %2e%2e%2f) इच्छित निर्देशिका से बाहर निकलने के लिए।.
3. संवेदनशील फ़ाइलों को पढ़ने का प्रयास करें: wp-config.php, .env, फ़ाइलें /etc/, लॉग और अस्थायी अपलोड।.
4. यदि PHP रैपर की अनुमति है, तो स्रोत प्रकट करने या कोड निष्पादित करने के लिए रैपर के साथ क्रॉसिंग को संयोजित करें (कॉन्फ़िगरेशन-निर्भर)।.
5. RCE में वृद्धि करने के लिए, हमलावर लॉग विषाक्तता का प्रयास कर सकते हैं: एक्सेस लॉग या अन्य लिखने योग्य फ़ाइलों में PHP इंजेक्ट करें और फिर उस फ़ाइल को शामिल करें।.

महत्वपूर्ण: allow_url_include, सक्षम रैपर, या गलत कॉन्फ़िगर की गई अनुमतियाँ जोखिम को काफी बढ़ा देती हैं। तत्काल RCE के बिना भी, डेटाबेस क्रेडेंशियल्स का प्रकटीकरण अक्सर पूर्ण समझौते की ओर ले जाता है।.

समझौते के संकेत (IoCs) और पहचान

यदि आपको प्रॉबिंग या समझौते का संदेह है, तो निम्नलिखित संकेतों की समीक्षा करें।.

नेटवर्क और वेब सर्वर लॉग

• अनुरोध जो शामिल हैं ../ sequences or URL-encoded traversal (%2e%2e%2f, %2e%2e%5c) targeting theme or template loader files.
• अनुरोध जो शामिल हैं php://, रैपर और फ़िल्टर को अस्वीकार करें:, अपेक्षा:, या zip://.
• WP कॉन्फ़िग फ़ाइलों का संदर्भ देने वाले बड़े या असामान्य GET अनुरोध।.
• एकल IPs या संदिग्ध उपयोगकर्ता-एजेंट से अनुरोधों का विस्फोट।.

वर्डप्रेस और फ़ाइल सिस्टम संकेतक

• लॉग फ़ाइलों में इंजेक्टेड PHP या अप्रत्याशित सामग्री।.
• अज्ञात व्यवस्थापक खाते या विशेषाधिकार वृद्धि।.
• संशोधित थीम/प्लगइन फ़ाइलें या अज्ञात फ़ाइलें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।, wp-includes, या थीम निर्देशिकाओं में।.
• अपलोड या कैश फ़ोल्डरों में संदिग्ध PHP फ़ाइलें।.
• डेटाबेस विसंगतियाँ (नए उपयोगकर्ता, परिवर्तित विकल्प)।.

जब जांच कर रहे हों, तो लॉग को संरक्षित करें और विनाशकारी परिवर्तनों से पहले फोरेंसिक कॉपी लें।.

साइट मालिकों के लिए तात्कालिक कार्रवाई (घटना प्रतिक्रिया चेकलिस्ट)

If your site uses R&F theme ≤ 1.5, follow this prioritized checklist now:

1. हमले की सतह को कम करने के लिए साइट को रखरखाव मोड में डालें (यदि व्यावहारिक हो)।.
2. एक पूर्ण बैकअप (फ़ाइलें और डेटाबेस) लें और इसे ऑफ़लाइन स्टोर करें। जांच के लिए लॉग को संरक्षित करें।.
3. If possible, disable the R&F theme immediately:
   • wp-admin के माध्यम से एक ज्ञात सुरक्षित डिफ़ॉल्ट थीम पर स्विच करें।.
   • Or rename the R&F theme folder via SFTP/SSH to force WordPress to fall back to a default theme.
4. यदि आप तुरंत थीम को बदल नहीं सकते:
   • सामान्य LFI पैटर्न को ब्लॉक करने के लिए अपने होस्टिंग WAF या नियंत्रण पैनल के माध्यम से वर्चुअल पैचिंग लागू करें (नीचे नियम के उदाहरण देखें)।.
   • वेब सर्वर नियमों के साथ थीम PHP एंडपॉइंट्स तक पहुंच को सीमित करें (जहां उपयुक्त हो, विश्वसनीय IPs से बाहरी पहुंच को अस्वीकार करें)।.
5. उन क्रेडेंशियल्स को घुमाएं जो उजागर हो सकते हैं:
   • डेटाबेस उपयोगकर्ता नाम/पासवर्ड।.
   • वर्डप्रेस प्रशासनिक खाते और अन्य विशेषाधिकार प्राप्त खाते।.
   • वर्डप्रेस में संग्रहीत API कुंजी और तीसरे पक्ष की सेवा रहस्य।.
6. वर्डप्रेस सॉल्ट और कुंजी को अपडेट करें wp-config.php.
7. बैकडोर और वेब शेल के लिए साइट को पूरी तरह से स्कैन करें (फाइल सिस्टम और कोड स्कैन)।.
8. अनधिकृत जोड़ या विशेषाधिकार परिवर्तनों के लिए प्रशासनिक और उपयोगकर्ता खातों का ऑडिट करें।.
9. संभावित शोषण के दायरे और समयरेखा निर्धारित करने के लिए वेब सर्वर लॉग की समीक्षा करें।.
10. यदि समझौता पुष्टि हो जाता है, तो एक साफ पूर्व-समझौता बैकअप से पुनर्स्थापित करें और केवल विश्वसनीय अपडेट और सुरक्षा नियंत्रण फिर से लागू करें।.
11. हितधारकों को सूचित करें और जहां आवश्यक हो, कानूनी/नियामक रिपोर्टिंग का पालन करें।.

जहां आवश्यक हो, अपने होस्टिंग प्रदाता के साथ समन्वय करें। यदि आपके पास फोरेंसिक विशेषज्ञता की कमी है, तो तुरंत एक योग्य घटना प्रतिक्रियाकर्ता को शामिल करें।.

वर्चुअल पैचिंग / WAF नियम उदाहरण (शोषण प्रयासों को कैसे ब्लॉक करें)

आधिकारिक पैच की प्रतीक्षा करते समय, WAF या होस्टिंग नियंत्रण पैनल नियमों का उपयोग करके वर्चुअल पैचिंग एक प्रभावी अल्पकालिक समाधान है। उत्पादन में लागू करने से पहले स्टेजिंग में नियमों का परीक्षण करें ताकि वैध कार्यक्षमता को तोड़ने से बचा जा सके।.

पथ यात्रा प्रयासों को ब्लॉक करें (सरल regex):

(\.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c)

PHP रैपर के उपयोग को ब्लॉक करें (रोकें php://, रैपर और फ़िल्टर को अस्वीकार करें:, अपेक्षा:, zip://):

(?:php://|data:|expect:|zip://|php%3A%2F%2F)

संदिग्ध include/file पैरामीटर मानों को ब्लॉक करें:

• यदि एक थीम पैरामीटर का उपयोग करती है जैसे फ़ाइल=, पृष्ठ=, या tpl=, तो उन अनुरोधों को ब्लॉक करें जिनके मानों में ट्रैवर्सल या रैपर पैटर्न शामिल हैं।.

उदाहरण प्सूडो-नियम:

IF REQUEST URI contains '?file=' OR '?path=' OR '?template=' AND REQUEST VALUE MATCHES '(\.\./|php://|data:|%2e%2e)' THEN BLOCK

संदिग्ध एंडपॉइंट्स की दर-सीमा निर्धारित करें और स्वचालित स्कैनिंग को बाधित करने के लिए थ्रॉटल करें। पहले केवल निगरानी मोड में नियम लागू करें, झूठे सकारात्मक की समीक्षा करें, फिर लागू करें।.

कोड को सुरक्षित करना - थीम और प्लगइन डेवलपर्स के लिए मार्गदर्शन

Developers maintaining R&F or any component that performs file inclusion must fix the code to remove user control from include paths and strictly whitelist allowed templates.

1. include/require कॉल में उपयोगकर्ता इनपुट का प्रत्यक्ष उपयोग हटा दें। कभी न करें include($input) जहाँ $input उपयोगकर्ता द्वारा नियंत्रित है।.
2. अनुमत टेम्पलेट्स/फाइलों की एक व्हाइटलिस्ट का उपयोग करें। उदाहरण मैपिंग:

$allowed = ['home' => 'templates/home.php', 'about' => 'templates/about.php'];

3. पथों को मान्य और स्वच्छ करें वास्तविकपथ() और सुनिश्चित करें कि हल किए गए पथ इच्छित निर्देशिका के भीतर बने रहें:

$base = realpath(__DIR__ . '/templates') . DIRECTORY_SEPARATOR;

4. जोखिम भरे स्ट्रीम रैपर को सक्षम करने से बचें और रखें allow_url_include = बंद php.ini में जहां संभव हो।.
5. फ़ाइल अनुमतियों को न्यूनतम करें; अपलोड को अविश्वसनीय मानें और उन्हें थीम निर्देशिकाओं के भीतर निष्पादन योग्य अनुमतियों के साथ न रखें।.
6. उचित त्रुटि हैंडलिंग का उपयोग करें और अंतिम उपयोगकर्ताओं के लिए स्टैक ट्रेस या फ़ाइल सिस्टम पथ को उजागर न करें।.
7. पुनरावृत्तियों को रोकने के लिए पथ यात्रा और LFI परिदृश्यों को लक्षित करने वाले इकाई और एकीकरण परीक्षण जोड़ें।.
8. यदि गतिशील लोडिंग आवश्यक है, तो केवल पूर्वनिर्धारित पहचानकर्ताओं (फ़ाइल पथ नहीं) को स्वीकार करें और उन्हें सुरक्षित फ़ाइलों से मैप करें।.

वर्डप्रेस वातावरण को मजबूत करना (गहराई में रक्षा)

LFI शोषण के प्रभाव और संभावना को कम करने के लिए इन नियंत्रणों को होस्टिंग वातावरण में लागू करें:

• वर्डप्रेस कोर, थीम और प्लगइन्स को अपडेट रखें। अप्रयुक्त थीम/प्लगइन्स को उनके कोड को हटाकर, केवल निष्क्रिय करने के बजाय हटा दें।.
• फ़ाइल अनुमतियों को सीमित करें (उदाहरण के लिए, wp-config.php 600 या 640 पर होस्ट के आधार पर; निर्देशिकाएँ 755; फ़ाइलें 644 एक आधार रेखा के रूप में)।.
• अपलोड निर्देशिकाओं में PHP निष्पादन को अक्षम करें - रोकने के लिए वेब सर्वर नियमों का उपयोग करें *.php निष्पादन में /wp-content/uploads.
• सुरक्षा करें wp-config.php वेब सर्वर एक्सेस नियमों के साथ।.
• डेटाबेस और फ़ाइल एक्सेस के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें।.
• वर्डप्रेस प्रशासन से फ़ाइल संपादन को अक्षम करें: परिभाषित करें DISALLOW_FILE_EDIT में wp-config.php.
• फोरेंसिक्स में मदद के लिए कम से कम 90 दिनों के लिए केंद्रीकृत लॉग (वेब सर्वर और एप्लिकेशन) बनाए रखें।.
• प्रशासनिक खातों के लिए मजबूत पासवर्ड और बहु-कारक प्रमाणीकरण का उपयोग करें।.
• नियमित, सत्यापित बैकअप बनाए रखें जो ऑफ़लाइन या ऑफ़-सर्वर रखे जाएं।.
• फ़ाइल की अखंडता की निगरानी करें और अप्रत्याशित परिवर्तनों पर अलर्ट करें।.
• प्रबंधन इंटरफेस को विश्वसनीय आईपी तक सीमित करें और जहां संभव हो नेटवर्क विभाजन का उपयोग करें।.

यदि आपकी साइट से समझौता किया गया है - सफाई और पुनर्प्राप्ति

1. साइट को अलग करें: सार्वजनिक पहुंच को अक्षम करें या रखरखाव मोड सक्षम करें।.
2. सबूत सुरक्षित करें: विश्लेषण के लिए वर्तमान फ़ाइल सिस्टम और लॉग की प्रतियां लें।.
3. हमले के वेक्टर और समझौते के दायरे की पहचान करें।.
4. समझौते से पहले बनाए गए एक साफ़ बैकअप से पुनर्स्थापित करें।.
5. सभी क्रेडेंशियल और रहस्यों (डेटाबेस, एपीआई कुंजी, वर्डप्रेस साल्ट) को बदलें।.
6. विश्वसनीय स्रोतों से वर्डप्रेस कोर, थीम और प्लगइन्स को फिर से स्थापित करें; संभावित रूप से संक्रमित प्रतियों का पुन: उपयोग न करें।.
7. ऊपर वर्णित अनुसार वातावरण को मजबूत करें।.
8. पुनः प्रकट होने के लिए निकटता से निगरानी करें; हमलावर अक्सर स्थायीता को फिर से स्थापित करते हैं।.
9. प्रभावित पक्षों को सूचित करें और जहां आवश्यक हो, कानूनी/नियामक दायित्वों को पूरा करें।.

यदि आपके पास इन-हाउस घटना प्रतिक्रिया क्षमता नहीं है, तो तुरंत एक प्रतिष्ठित घटना प्रतिक्रिया विशेषज्ञ को संलग्न करें। गति महत्वपूर्ण है - हमलावर अक्सर बिना सुधारित साइटों पर वापस आते हैं।.

व्यावहारिक चेकलिस्ट (एक-पृष्ठ सारांश)

साइट के मालिकों / प्रशासकों के लिए:

• Identify all WordPress sites using the R&F theme (<= 1.5).
• यदि आवश्यक हो तो प्रभावित साइटों को रखरखाव मोड में डालें।.
• एक सुरक्षित थीम पर स्विच करें या कमजोर थीम निर्देशिका का नाम बदलें।.
• LFI पैटर्न को ब्लॉक करने के लिए वर्चुअल पैच/WAF नियम लागू करें।.
• एक पूर्ण बैकअप लें और लॉग को सुरक्षित रखें।.
• DB और प्रशासनिक क्रेडेंशियल्स को घुमाएं; वर्डप्रेस साल्ट को बदलें।.
• वेब शेल और unauthorized परिवर्तनों के लिए फ़ाइल सिस्टम को स्कैन करें।.
• यदि समझौता किया गया है, तो एक साफ बैकअप से पुनर्स्थापित करें और वातावरण को मजबूत करें।.
• दोहराए गए LFI प्रॉब प्रयासों के लिए लॉग की निगरानी करें; IP ब्लॉकिंग या दर सीमित करने पर विचार करें।.

डेवलपर्स और थीम लेखकों के लिए:

• उन include/require कॉल्स को खोजें जो बाहरी इनपुट का उपयोग करते हैं।.
• व्हाइटलिस्ट और रियलपाथ सत्यापन जांच लागू करें।.
• ट्रैवर्सल और पथ स्वच्छता के लिए एंडपॉइंट्स का परीक्षण करें।.
• एक पैच जारी करें और उपयोगकर्ताओं को अपडेट की आवश्यकता वाले संस्करणों की सूचना दें।.
• पुनरावृत्ति को रोकने के लिए स्वचालित परीक्षण जोड़ें।.

अंतिम शब्द — अब कार्रवाई करना क्यों महत्वपूर्ण है

LFI कमजोरियां आकर्षक लक्ष्य हैं क्योंकि इन्हें स्वचालित और स्केल किया जा सकता है। बिना प्रमाणीकरण के पहुंच के साथ, शोषण के लिए महत्वपूर्ण विंडो तुरंत होती है जब कमजोरियों का पता चलता है — हमलावर व्यापक और तेजी से स्कैन करते हैं।.

If your organisation operates sites using the R&F theme, do not delay: apply mitigations now — virtual patching via a WAF, disable or remove the vulnerable theme, rotate secrets, and perform a careful integrity check. If you require assistance implementing technical controls (WAF rule tuning, incident response, forensic analysis, or hardening), engage qualified security professionals without delay.