Urgent: Bread & Butter Plugin CSRF → Arbitrary File Upload (CVE-2025-12189) — What WordPress Site Owners Must Do Now

सारांश: A Cross-Site Request Forgery (CSRF) vulnerability in the Bread & Butter WordPress plugin (versions ≤ 7.11.1374) allows an attacker to coerce a privileged user into uploading arbitrary files to a site. The vendor patched the issue in version 8.0.1398. This post outlines technical details, real-world attack scenarios, detection guidance, immediate remediation steps and longer-term hardening measures from the perspective of a Hong Kong security practitioner.

क्या हुआ (संक्षेप में)

A CSRF vulnerability was identified in the Bread & Butter plugin for WordPress affecting versions up to and including 7.11.1374. An unauthenticated attacker can craft a request which, if a privileged user (for example an administrator) visits it while authenticated, triggers the plugin’s upload handler and results in arbitrary files being written to a web-accessible location. Uploaded executable files or web shells can lead to remote code execution, persistent backdoors, data exfiltration or site defacement.

विक्रेता ने संस्करण 8.0.1398 में एक सुधार जारी किया। जब तक आपकी साइट को अपडेट और सत्यापित नहीं किया जाता, तब तक साइट को जोखिम में मानें और तत्काल उपाय लागू करें।.

कौन प्रभावित है

• Any WordPress site running Bread & Butter version 7.11.1374 or earlier.
• साइटें जहां विशेषाधिकार प्राप्त उपयोगकर्ता (व्यवस्थापक, उच्च क्षमताओं वाले संपादक) नियमित रूप से व्यवस्थापक में लॉग इन करते हैं या अपलोड व्यवहार को सक्रिय करने में सक्षम पृष्ठों पर जाते हैं।.
• साइटें जो बिना अतिरिक्त सत्यापन या पृथक्करण के वेब-सुलभ निर्देशिकाओं में प्लगइन-नियंत्रित फ़ाइल अपलोड की अनुमति देती हैं।.

नोट: हमलावर को प्रमाणित होने की आवश्यकता नहीं है। हमला CSRF का लाभ उठाता है — एक विशेषाधिकार प्राप्त, प्रमाणित उपयोगकर्ता को क्रिया निष्पादित करने के लिए धोखा देना — इसलिए विशेषाधिकार प्राप्त खाता जोखिम को कम करना और बहु-कारक प्रमाणीकरण का उपयोग करना महत्वपूर्ण उपाय हैं।.

तकनीकी विवरण — भेद्यता कैसे काम करती है

उच्च स्तर पर, यह समस्या तीन तत्वों को जोड़ती है:

1. एक अपलोड एंडपॉइंट जो multipart/form-data को स्वीकार करता है और फ़ाइलों को एक वेब-एक्सेसिबल डायरेक्टरी में लिखता है।.
2. CSRF सुरक्षा की कमी या अपर्याप्तता (कोई nonce/token या बायपास करने योग्य सत्यापन नहीं)।.
3. अपलोड की गई फ़ाइल का कमजोर सर्वर-साइड सत्यापन (अपर्याप्त प्रकार जांच, अनुचित फ़ाइल नाम स्वच्छता, अपर्याप्त क्षमता जांच)।.

शोषण प्रवाह (सामान्य)

1. एक हमलावर एक HTML फ़ॉर्म या अनुरोध तैयार करता है ताकि multipart/form-data को प्लगइन के अपलोड एंडपॉइंट पर POST किया जा सके, जिसमें एक दुर्भावनापूर्ण पेलोड शामिल होता है (जैसे, एक्सटेंशन ट्रिक्स द्वारा छिपाया गया PHP वेब शेल)।.
2. हमलावर एक प्रमाणित विशेषाधिकार प्राप्त उपयोगकर्ता को दुर्भावनापूर्ण पृष्ठ या लिंक पर लुभाता है।.
3. पीड़ित का ब्राउज़र प्रमाणीकरण कुकीज़ के साथ अनुरोध प्रस्तुत करता है; अपलोड पीड़ित के विशेषाधिकार के साथ निष्पादित होता है।.
4. CSRF जांच और कमजोर सर्वर-साइड सत्यापन के अभाव के कारण, फ़ाइल एक वेब-एक्सेसिबल स्थान में सहेजी जाती है।.
5. हमलावर अपलोड की गई फ़ाइल तक पहुँचता है ताकि कोड निष्पादित कर सके या स्थायीता स्थापित कर सके।.

CSRF + फ़ाइल अपलोड क्यों गंभीर है

• CSRF सामान्यतः उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है, लेकिन इसे एक असुरक्षित अपलोड हैंडलर के साथ जोड़ने से प्रभाव में नाटकीय वृद्धि होती है।.
• यदि फ़ाइल दस्तावेज़ रूट या किसी अन्य वेब-एक्सेसिबल डायरेक्टरी के तहत रखी जाती है, तो मनमाना कोड निष्पादन संभव है।.
• पूर्ण साइट समझौता और पार्श्व आंदोलन वास्तविक परिणाम हैं यदि हमलावर क्रेडेंशियल प्राप्त करता है या कॉन्फ़िगरेशन फ़ाइलें पढ़ता है।.

वास्तविक दुनिया के हमले के परिदृश्य और प्रभाव

• तात्कालिक साइट अधिग्रहण: एक छोटा PHP वेब शेल कमांड निष्पादन, नए व्यवस्थापक उपयोगकर्ताओं का निर्माण, या बैकडोर स्थापित करने की अनुमति देता है।.
• स्थायी मैलवेयर: स्क्रिप्ट अपडेट के दौरान बनी रहती हैं, SEO स्पैम इंजेक्ट करती हैं, आगंतुकों को पुनर्निर्देशित करती हैं, या क्रिप्टोक्यूरेंसी माइन करती हैं।.
• डेटा चोरी: हमलावर wp-config.php, डेटाबेस डंप, उपयोगकर्ता डेटा और बैकअप को एक्सफिल्ट्रेट कर सकता है।.
• मल्टी-साइट या सप्लाई-चेन पिवट: साझा होस्टिंग या मल्टीसाइट इंस्टॉलेशन पर समझौता फैल सकता है।.
• प्रतिष्ठा और SEO क्षति: इंजेक्टेड स्पैम या रीडायरेक्ट्स खोज इंजन दंड और उपयोगकर्ता विश्वास हानि का कारण बनते हैं।.

CVSS और जोखिम व्याख्या

रिपोर्ट किया गया CVSS v3.1 वेक्टर:

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H — स्कोर ≈ 9.6

व्याख्या:

• एवी:एन — नेटवर्क: HTTP(S) के माध्यम से दूरस्थ।.
• एसी:एल — उपयोगकर्ता को धोखा देने के अलावा कम जटिलता।.
• PR:N — अनुरोध बनाने के लिए कोई विशेषाधिकार की आवश्यकता नहीं है।.
• यूआई:आर — विशेषाधिकार प्राप्त उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है (भ्रमण/क्लिक)।.
• एस:सी — दायरा बदला: मूल संसाधनों से परे प्रभाव डाल सकता है।.
• C:H/I:H/A:H — उच्च गोपनीयता, अखंडता, उपलब्धता प्रभाव।.

हालांकि विशेषाधिकार प्राप्त खाते द्वारा उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है, सामाजिक इंजीनियरिंग की आसानी और गंभीर प्रभाव इसे महत्वपूर्ण मानने justify करते हैं।.

शोषण का पता लगाने और समझौते के संकेतकों (IoCs) के लिए कैसे।

CSRF-प्रेरित मनमाने अपलोड सूक्ष्म हो सकते हैं। निम्नलिखित व्यावहारिक संकेतकों की तलाश करें:

लॉग और अनुरोध

• संदिग्ध फ़ाइलें प्रकट होने से ठीक पहले बाहरी संदर्भकर्ताओं से प्लगइन एंडपॉइंट्स पर मल्टीपार्ट/फॉर्म-डेटा POST।.
• मान्य नॉनसेस के बिना या अप्रत्याशित संदर्भकर्ताओं के साथ अपलोड एंडपॉइंट्स पर POST।.
• एकल आईपी या असामान्य उपयोगकर्ता एजेंट से प्लगइन पृष्ठों पर POST की उच्च मात्रा।.

फ़ाइल प्रणाली और फ़ाइलें

• wp-content/uploads या प्लगइन निर्देशिकाओं के तहत नए PHP या निष्पादन योग्य जैसी फ़ाइलें।.
• डबल एक्सटेंशन वाली फ़ाइलें (जैसे, छवि.jpg.php या shell.php.txt).
• हाल ही में संशोधित थीम या प्लगइन फ़ाइलें।.

डेटाबेस और वर्डप्रेस स्थिति

• अप्रत्याशित व्यवस्थापक उपयोगकर्ता या उच्च क्षमताओं वाले खाते।.
• विकल्पों (siteurl, home) या रूपांतरण सेटिंग्स में परिवर्तन।.
• नए निर्धारित कार्य (क्रोन प्रविष्टियाँ) जो अज्ञात हुक या स्क्रिप्ट चला रहे हैं।.

रनटाइम व्यवहार

• वेब सर्वर से बाहरी होस्टों के लिए अप्रत्याशित आउटबाउंड कनेक्शन।.
• उच्च CPU उपयोग (जैसे, खनन) या आउटगोइंग मेल में अचानक वृद्धि।.
• SEO स्पैम लिंक या रीडायरेक्ट जो पृष्ठों या खोज परिणामों में दिखाई देते हैं।.

व्यावहारिक जांच

find wp-content/uploads -type f -mtime -7

यदि आप संदिग्ध फ़ाइलें या छेड़छाड़ के संकेत पाते हैं, तो साइट को समझौता किया हुआ मानें जब तक कि अन्यथा साबित न हो।.

तत्काल सुधारात्मक कदम (अब क्या करना है)

इन कार्यों को तुरंत करें, containment और recovery को प्राथमिकता देते हुए। जहां संभव हो, उन्हें नीचे दिए गए क्रम में निष्पादित करें।.

1. प्लगइन को अपडेट करें
   • Update Bread & Butter to version 8.0.1398 or later immediately to remove the vulnerable code paths.
   • यदि आप संगतता चिंताओं के कारण तुरंत अपडेट नहीं कर सकते हैं, तो परीक्षण और पैच लागू होने तक अस्थायी रूप से प्लगइन को निष्क्रिय करें।.
2. हमले की सतह को कम करें
   • यदि संभव हो तो विश्वसनीय IPs के लिए वर्डप्रेस व्यवस्थापक तक पहुंच को सीमित करें।.
   • सभी विशेषाधिकार प्राप्त खातों के लिए बहु-कारक प्रमाणीकरण की आवश्यकता करें।.
   • अस्थायी रूप से गैर-विश्वसनीय खातों के लिए फ़ाइल अपलोड क्षमताओं को निष्क्रिय करें।.
3. दुर्भावनापूर्ण फ़ाइलों को स्कैन और हटा दें
   • पूर्ण मैलवेयर स्कैन करें (कोर, प्लगइन्स, थीम, अपलोड)।.
   • संदिग्ध PHP/कार्यकारी फ़ाइलों के लिए अपलोड और प्लगइन फ़ोल्डरों की जांच करें।.
   • संदिग्ध कलाकृतियों को संगरोध करें (वेब रूट के बाहर ले जाएं) बजाय तुरंत हटाने के, ताकि आप फोरेंसिक्स के लिए सबूत संरक्षित कर सकें।.
4. स्थायी तंत्रों के लिए जांचें
   • नए व्यवस्थापक उपयोगकर्ताओं, निर्धारित क्रोन घटनाओं, संशोधित थीम/प्लगइन फ़ाइलों और अप्रत्याशित DB प्रविष्टियों की खोज करें।.
   • दुर्भावनापूर्ण रीडायरेक्ट या री-राइट नियमों के लिए .htaccess और सर्वर कॉन्फ़िगरेशन की जांच करें।.
5. क्रेडेंशियल्स को घुमाएं
   • यदि समझौता होने का संदेह है तो सभी व्यवस्थापक पासवर्ड और API कुंजियाँ रीसेट करें।.
   • यदि डेटाबेस क्रेडेंशियल्स उजागर हो सकते हैं, तो DB उपयोगकर्ता पासवर्ड को बदलें और अपडेट करें। wp-config.php.
6. यदि आवश्यक हो तो विश्वसनीय बैकअप से पुनर्स्थापित करें।
   • यदि साइट निश्चित रूप से समझौता की गई है, तो घटना से पहले लिए गए स्वच्छ बैकअप से पुनर्स्थापित करें, फिर पुन: कनेक्ट करने से पहले प्लगइन अपडेट और हार्डनिंग लागू करें।.
7. हितधारकों को सूचित करें
   • अपने होस्टिंग प्रदाता और किसी भी प्रभावित पक्षों को अपनी घटना प्रतिक्रिया और अनुपालन दायित्वों के अनुसार सूचित करें।.
8. अस्थायी सुरक्षा उपाय लागू करें।
   • कमजोर अपलोड एंडपॉइंट्स के लिए वेब सर्वर या WAF स्तर पर ब्लॉकिंग नियम लागू करें जब तक साइट पैच और सत्यापित न हो जाए।.

मजबूत करना और दीर्घकालिक रोकथाम

सुधार के बाद, भविष्य के जोखिम को कम करने के लिए इन उपायों को लागू करें।.

1. न्यूनतम विशेषाधिकार का सिद्धांत: व्यवस्थापक खातों की संख्या सीमित करें और संपादन और प्रशासन के लिए अलग-अलग भूमिकाएँ बनाएं।.
2. दो-कारक प्रमाणीकरण: सभी व्यवस्थापक स्तर और उच्च क्षमता वाले खातों के लिए MFA लागू करें।.
3. अलग-अलग व्यवस्थापक सत्र: प्रशासनिक कार्य के लिए समर्पित ब्राउज़र प्रोफाइल या अलग ब्राउज़र का उपयोग करें।.
4. सुरक्षित फ़ाइल अपलोड हैंडलिंग: फ़ाइल प्रकारों की सर्वर-साइड मान्यता लागू करें, फ़ाइल नामों को साफ करें, यदि संभव हो तो अपलोड को वेब रूट के बाहर स्टोर करें, और निष्पादन योग्य एक्सटेंशन की अनुमति न दें।.
5. फ़ाइल अनुमतियाँ और सर्वर कॉन्फ़िगरेशन: सुनिश्चित करें कि अपलोड गैर-निष्पादन योग्य हैं (जैसे, फ़ाइलें 644, निर्देशिकाएँ 755) और अपलोड में PHP के निष्पादन को अस्वीकार करने के लिए वेब सर्वर नियमों को कॉन्फ़िगर करें।.
6. निगरानी और स्कैन: नियमित अखंडता जांच और मैलवेयर स्कैन का कार्यक्रम बनाएं; नए व्यवस्थापक उपयोगकर्ताओं और अप्रत्याशित फ़ाइल लेखन पर अलर्ट करें।.
7. कुकीज़ को मजबूत करें: सुनिश्चित करें कि प्रमाणीकरण कुकीज़ सुरक्षित, HttpOnly और उचित SameSite विशेषताओं का उपयोग करती हैं ताकि CSRF/सत्र चोरी के जोखिम को कम किया जा सके।.
8. पैच प्रबंधन और विक्रेता जांच: प्लगइन्स/थीम/कोर को अपडेट रखें और सक्रिय रखरखाव और स्वस्थ सुरक्षा प्रथाओं वाले घटकों को प्राथमिकता दें।.

अनुशंसित WAF नियम और हस्ताक्षर - व्यावहारिक उदाहरण

एक सही तरीके से कॉन्फ़िगर किया गया WAF (या सर्वर-साइड नियम) जोखिम को कम कर सकता है द्वारा शोषण प्रयासों को रोकते हुए जब आप पैच करते हैं। नीचे दिए गए उदाहरण वैचारिक ModSecurity-शैली के नियम हैं - अपने वातावरण के लिए पथ और पैरामीटर नामों को अनुकूलित करें और गलत सकारात्मक से बचने के लिए स्टेजिंग में परीक्षण करें।.

1) प्लगइन अपलोड हैंडलर के लिए संदिग्ध मल्टीपार्ट POST को ब्लॉक करें

SecRule REQUEST_METHOD "POST" "phase:2,chain,deny,status:403,msg:'प्लगइन एंडपॉइंट पर संदिग्ध अपलोड POST को ब्लॉक किया गया',id:100001"

2) खतरनाक एक्सटेंशन वाले फ़ाइल अपलोड को ब्लॉक करें

SecRule REQUEST_HEADERS:Content-Type "multipart/form-data" "phase:2,chain,deny,msg:'खतरनाक एक्सटेंशन वाला अपलोड ब्लॉक किया गया',id:100002"

3) डबल-एक्सटेंशन फ़ाइल नामों को ब्लॉक करें

SecRule REQUEST_BODY "@rx [^\s]+?\.(jpg|jpeg|png|gif)\.(php|phtml|php5|pl|py)" "phase:2,deny,msg:'संदिग्ध डबल एक्सटेंशन अपलोड को ब्लॉक किया गया',id:100003"

4) व्यवस्थापक एंडपॉइंट के लिए Origin/Referer को मान्य करें

SecRule REQUEST_URI "@rx /wp-admin/|/wp-content/plugins/bread-butter/" "phase:1,chain,deny,msg:'संवेदनशील एंडपॉइंट के लिए अमान्य Origin/Referer के साथ अनुरोध को ब्लॉक किया गया',id:100004"

5) संदिग्ध अपलोड प्रयासों की दर-सीमा निर्धारित करें

SecRule REQUEST_URI "@rx /wp-content/plugins/bread-butter/.*/upload" "phase:2,chain,deny,msg:'दर-सीमा निर्धारित अपलोड प्रयासों को ब्लॉक किया गया',id:100005,expirevar:ip.upload_limit=60"

महत्वपूर्ण: WAF नियमों का परीक्षण एक स्टेजिंग वातावरण में करें और पहले केवल पहचान मोड पर विचार करें ताकि गलत सकारात्मक के लिए ट्यून किया जा सके। सुनिश्चित करें कि नियम वैध व्यवस्थापक कार्यप्रवाहों को ब्लॉक न करें।.

घटना प्रतिक्रिया चेकलिस्ट (चरण-दर-चरण)

1. शामिल करें: कमजोर प्लगइन को निष्क्रिय या हटा दें; सर्वर या WAF पर अपलोड एंडपॉइंट को ब्लॉक करें; व्यवस्थापक पहुंच को प्रतिबंधित करें (IP अनुमति सूची)।.
2. पहचानें: सर्वर लॉग एकत्र करें, नए/संशोधित फ़ाइलों और नए व्यवस्थापक उपयोगकर्ताओं के लिए खोजें, और टाइमस्टैम्प और आईपी पते नोट करें।.
3. समाप्त करें: दुर्भावनापूर्ण फ़ाइलों को संगरोध में रखें और हटा दें (फोरेंसिक्स के लिए प्रतियां बनाए रखें), अनधिकृत उपयोगकर्ताओं को हटा दें, क्रेडेंशियल्स रीसेट करें, और विक्रेता पैच (8.0.1398+) लागू करें।.
4. पुनर्प्राप्त करें: यदि आवश्यक हो तो विश्वसनीय बैकअप से पुनर्स्थापित करें, स्कैन फिर से चलाएं, और संदिग्ध फ़ाइलों की पुनरावृत्ति के लिए निकटता से निगरानी करें।.
5. सीखे गए पाठ: समयरेखा, मूल कारण और सुधारों का दस्तावेजीकरण करें; पैचिंग और निगरानी प्रक्रियाओं को अपडेट करें।.

अनुप्रयोग — सिस्टम प्रशासकों के लिए उपयोगी कमांड और त्वरित जांच

# हाल ही में संशोधित फ़ाइलें खोजें

# अपलोड में PHP फ़ाइलें खोजें

CSRF combined with arbitrary file upload is a highly dangerous vector. For any site running Bread & Butter at or below version 7.11.1374, take immediate action: update to 8.0.1398 or later, verify there was no compromise, and follow the containment and hardening steps above.

# सामान्य वेबशेल पैटर्न के लिए बुनियादी grep.

— हांगकांग सुरक्षा विशेषज्ञ