Wवर्डप्रेस भेद्यता डेटाबेस

एचके एनजीओ अलर्ट सोशल लॉगिन प्रमाणीकरण बायपास (CVE20255821)

वर्डप्रेस केस थीम यूजर प्लगइन
0
शेयर
0
0
0
0
प्लगइन का नाम केस थीम यूजर
कमजोरियों का प्रकार प्रमाणीकरण बायपास
CVE संख्या CVE-2025-5821
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2025-08-22
स्रोत URL CVE-2025-5821

महत्वपूर्ण: केस थीम यूजर प्लगइन (≤ 1.0.3) — सामाजिक लॉगिन के माध्यम से प्रमाणीकरण बायपास (CVE-2025-5821)

तारीख: 22 अगस्त 2025

लेखक: हांगकांग सुरक्षा विशेषज्ञ

TL;DR

A high-severity broken authentication vulnerability (CVE-2025-5821, CVSS 9.8) exists in the “Case Theme User” WordPress plugin versions ≤ 1.0.3. An unauthenticated attacker can bypass authentication through the plugin’s social-login implementation and may gain administrative access. The plugin author released version 1.0.4 to address the issue.

यदि आप इस प्लगइन का उपयोग करने वाली साइटों का संचालन करते हैं, तो तुरंत 1.0.4 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो नीचे दिए गए अस्थायी शमन लागू करें और पैच लागू होने तक एप्लिकेशन-स्तरीय सुरक्षा (WAF/वर्चुअल पैच, सख्त लॉगिंग और निगरानी) सक्षम करें।.

यह क्यों महत्वपूर्ण है (साधारण भाषा)

सामाजिक लॉगिन पंजीकरण को आसान बनाता है, लेकिन प्रोटोकॉल और एकीकरण सूक्ष्म होते हैं और गलत तरीके से लागू करना आसान होता है। यदि कॉलबैक या टोकन सत्यापन चरण अधूरे हैं, तो हमलावर उपयोगकर्ताओं की नकल करने के लिए पैरामीटर को जाली या पुनः प्रस्तुत कर सकते हैं। जब पहचान मानचित्रण डिफ़ॉल्ट रूप से ऊंचे भूमिकाएँ सौंपता है, तो साइट पर कब्जा करना संभव हो जाता है।.

ये कारण इस भेद्यता को महत्वपूर्ण बनाते हैं:

  • अप्रमाणित हमलावरों द्वारा शोषण योग्य (कोई पूर्व पहुंच आवश्यक नहीं)।.
  • प्रमाणीकरण और पहचान सत्यापन को सीधे कमजोर करता है।.
  • सफल शोषण का परिणाम पूर्ण साइट समझौता हो सकता है।.
  • व्यापक रूप से उपयोग किए जाने वाले प्लगइन संस्करणों में मौजूद (≤ 1.0.3)।.

किस पर प्रभाव पड़ता है

  • वर्डप्रेस साइटें जो केस थीम यूजर प्लगइन, संस्करण 1.0.3 और उससे पहले चला रही हैं।.
  • Sites that have enabled the plugin’s social-login functionality.
  • साइटें जो प्लगइन के माध्यम से सामाजिक खातों को प्रशासनिक या विशेष भूमिकाओं से जोड़ती हैं।.

त्वरित शमन चेकलिस्ट (पहले क्या करना है)

  1. तुरंत प्लगइन को संस्करण 1.0.4 (या बाद में) में अपडेट करें।.
  2. यदि आप अभी अपडेट नहीं कर सकते:
    • Disable the plugin’s social-login feature.
    • जब तक आप पैच स्थापित नहीं कर सकते, तब तक प्लगइन को अस्थायी रूप से निष्क्रिय करें।.
    • जहां संभव हो, IP द्वारा WordPress प्रशासन (wp-admin) तक पहुंच को प्रतिबंधित करें।.
  3. सामाजिक-लॉगिन अंत बिंदुओं के खिलाफ शोषण पैटर्न को रोकने के लिए एप्लिकेशन-स्तरीय सुरक्षा (WAF नियम या आभासी पैच) लागू करें।.
  4. प्रकाशन तिथि के बाद संदिग्ध लॉगिन घटनाओं और नए उपयोगकर्ता निर्माण के लिए लॉग की समीक्षा करें।.
  5. यदि समझौता होने का संदेह हो, तो प्रशासनिक पासवर्ड को घुमाएं और स्थायी सत्रों को अमान्य करें।.
  6. अनधिकृत प्रशासनिक उपयोगकर्ताओं के लिए उपयोगकर्ता खातों का ऑडिट करें।.

तकनीकी सारांश (क्या हुआ)

The plugin’s social-login implementation accepted authentication results or callbacks without sufficiently validating the social provider assertions and/or the state/nonce parameters used to protect the OAuth/OpenID Connect flow. This allowed specially crafted requests to bypass authentication checks.

मुख्य बिंदु:

  • कमजोर अंत बिंदुओं ने सामाजिक-लॉगिन प्रतिक्रियाओं को संसाधित किया या बाहरी पहचान को स्थानीय WordPress खातों से मैप किया।.
  • मान्यता विफलताओं में शामिल हैं:
    • the OAuth “state” parameter, and/or
    • टोकन हस्ताक्षर/जारीकर्ता/नॉन्स, और/या
    • दूरस्थ उपयोगकर्ता पहचान मैपिंग लॉजिक (जैसे, अविश्वसनीय इनपुट से उपयोगकर्ताओं का स्वचालित निर्माण या भूमिकाएं असाइन करना)।.
  • आवश्यक विशेषाधिकार: कोई नहीं (अप्रमाणित)।.
  • केस थीम उपयोगकर्ता 1.0.4 में ठीक किया गया।.

चूंकि प्रमाणीकरण समझौता किया गया है, एक हमलावर उन खातों के लिए सत्र प्राप्त कर सकता है जिन्हें उन्हें नियंत्रित नहीं करना चाहिए या यदि मैपिंग अनुमति देने वाली है तो विशेषाधिकार बढ़ा सकता है।.

हमलावर इसको कैसे शोषण कर सकते हैं (उच्च-स्तरीय हमले का प्रवाह)

वैचारिक प्रवाह (कोई शोषण कोड नहीं):

  1. Attacker targets the plugin’s social login callback endpoint.
  2. वे एक अनुरोध तैयार करते हैं जो सामाजिक-प्रदाता कॉलबैक की नकल करता है या उसे जाली बनाता है जबकि राज्य/नॉन्स को छोड़ देता है या भ्रष्ट करता है।.
  3. प्लगइन जाली कॉलबैक को स्वीकार करता है, एक दूरस्थ उपयोगकर्ता पहचानकर्ता या पेलोड निकालता है, और प्रदाता टोकन या राज्य की पुष्टि नहीं करता है।.
  4. प्लगइन या तो दूरस्थ पहचान को बिना सत्यापन के स्थानीय खाते से मैप करता है, या उच्च भूमिकाओं के साथ एक नया खाता स्वचालित रूप से बनाता है।.
  5. हमलावर को एक मान्य वर्डप्रेस सत्र (प्रमाणीकरण कुकी) प्राप्त होती है और वह मैप की गई भूमिका के आधार पर प्रतिबंधित कार्यक्षमता तक पहुंच सकता है।.

जब कॉलबैक सत्यापन अनुपस्थित होता है, तो प्रमाणीकरण बाधा प्रभावी रूप से हटा दी जाती है।.

संभावित प्रभाव

  • प्रशासनिक खातों के लिए निर्माण या मैपिंग के माध्यम से पूर्ण साइट अधिग्रहण।.
  • बैकडोर, वेब शेल, या दुर्भावनापूर्ण प्रशासनिक उपयोगकर्ताओं की स्थापना।.
  • डेटा निकासी (फाइलें, उपयोगकर्ता सूचियाँ, संवेदनशील सामग्री)।.
  • ग्राहक विश्वास की हानि, SEO दंड, और प्रदाताओं से संभावित ब्लैकलिस्टिंग।.
  • यदि क्रेडेंशियल या API कुंजी साइट पर संग्रहीत हैं तो डाउनस्ट्रीम सिस्टम में पिवट करें।.

समझौते के संकेत (IoCs) और पहचान मार्गदर्शन

लॉग और वर्डप्रेस उदाहरण में इन संकेतों की तलाश करें:

  • प्लगइन एंडपॉइंट्स पर असामान्य सामाजिक-लॉगिन कॉलबैक अनुरोध जो सफल लॉगिन में परिणत हुए।.
  • 22 अगस्त 2025 को या उसके बाद अप्रत्याशित उच्च भूमिकाओं (प्रशासक/संपादक) के साथ नए उपयोगकर्ता खाते बनाए गए।.
  • लॉगिन घटनाएँ अपेक्षित राज्य पैरामीटर की कमी या संदिग्ध संदर्भकर्ताओं के साथ।.
  • अपरिचित IP पतों से प्रमाणीकरण लॉगिन के बाद विशेषाधिकार वृद्धि क्रियाएँ।.
  • थीम/प्लगइन फ़ाइलों में अप्रत्याशित संशोधन, नए प्रशासनिक उपयोगकर्ता, या परिवर्तित साइट विकल्प।.
  • संदिग्ध क्रोन कार्य, अनुसूचित कार्य, या प्रशासनिक अपलोड।.

कहाँ जांचें:

  • वेब सर्वर पहुंच और त्रुटि लॉग (apache/nginx)।.
  • वर्डप्रेस गतिविधि लॉग (यदि उपलब्ध हो)।.
  • हाल के खातों और भूमिका असाइनमेंट के लिए डेटाबेस तालिकाएँ wp_users और wp_usermeta।.
  • प्लगइन-विशिष्ट लॉग (यदि सामाजिक-लॉगिन घटक कॉलबैक लॉग करता है)।.

सुझाए गए लॉग खोज अवधारणाएँ:

  • अनुरोध जो प्लगइन कॉलबैक URI को शामिल करते हैं।.
  • सामाजिक-लॉगिन एंडपॉइंट्स पर POST अनुरोध जो गायब/खाली स्थिति पैरामीटर के साथ हैं।.
  • 2025-08-22 के बाद बनाए गए उपयोगकर्ताओं की सूची बनाएं और निर्माण IP और असाइन किए गए भूमिकाओं की जांच करें।.

तात्कालिक सुधारात्मक कदम (विवरण सहित)

  1. प्लगइन को अपडेट करें
    • साइट प्लगइन अपडेटर के माध्यम से या SFTP/SSH के माध्यम से अपडेटेड पैकेज अपलोड करके केस थीम उपयोगकर्ता 1.0.4 या बाद का संस्करण लागू करें।.
  2. यदि अपडेट तुरंत लागू नहीं किया जा सकता है:
    • WP Admin → Plugins के माध्यम से प्लगइन को निष्क्रिय करें।.
    • यदि WP Admin अनुपलब्ध है, तो SFTP/SSH के माध्यम से प्लगइन निर्देशिका का नाम बदलें (wp-content/plugins/case-theme-user → case-theme-user.disabled)।.
  3. सामाजिक-लॉगिन प्रवाह को निष्क्रिय करें:
    • प्लगइन सेटिंग्स में कॉन्फ़िगर किए गए सामाजिक प्रदाताओं को बंद करें।.
    • अस्थायी रूप से प्लगइन कॉन्फ़िगरेशन से तीसरे पक्ष के ऐप क्रेडेंशियल हटा दें।.
  4. प्रशासनिक पहुंच को मजबूत करें:
    • जहां संभव हो, /wp-admin और /wp-login.php तक पहुंच को IP द्वारा सीमित करें।.
    • प्रशासक खातों के लिए दो-कारक प्रमाणीकरण (2FA) सक्षम करें।.
  5. पासवर्ड रीसेट करने के लिए मजबूर करें:
    • प्रशासकों और विशेषाधिकार प्राप्त खातों के लिए पासवर्ड रीसेट करें।.
    • प्रमाणीकरण कुकीज़ और सत्रों को समाप्त करें (wp-cli के माध्यम से या प्रमाणीकरण नमक बदलकर)।.
  6. समझौते के लिए स्कैन करें:
    • साइट फ़ाइलों पर फ़ाइल अखंडता और मैलवेयर स्कैन चलाएं।.
    • wp-config.php, थीम फ़ाइलों, mu-plugins, और ड्रॉप-इन्स की जांच करें कि क्या उनमें दुर्भावनापूर्ण संपादन हैं।.
  7. उपयोगकर्ताओं का ऑडिट करें:
    • अप्रत्याशित प्रशासनिक खातों को हटा दें और जांचें कि वे कैसे बनाए गए थे।.
    • दूरस्थ आईडी के लिए संदिग्ध मैपिंग के लिए उपयोगकर्ता मेटा की जांच करें।.
  8. यदि किसी उल्लंघन का संदेह है तो हितधारकों और होस्टिंग प्रदाता को सूचित करें।.

यदि आप सामाजिक-लॉगिन कार्यक्षमता विकसित या एकीकृत करते हैं, तो इन प्रथाओं को अपनाएं:

  • OAuth/OpenID कनेक्ट स्थिति और नॉनस पैरामीटर लागू करें:
    • प्रत्येक लॉगिन प्रयास के लिए एक क्रिप्टोग्राफिक रूप से सुरक्षित स्थिति उत्पन्न करें।.
    • स्थिति को सर्वर-साइड (सत्र या अल्पकालिक DB रिकॉर्ड) पर संग्रहीत करें और कॉलबैक पर सत्यापित करें।.
    • पुनःप्रयोजन हमलों को रोकने के लिए नॉनस का उपयोग करें।.
  • टोकन और हस्ताक्षरों को मान्य करें:
    • ID टोकन हस्ताक्षर, जारीकर्ता (iss), दर्शक (aud), समाप्ति (exp), और जारी-पर (iat) को मान्य करें।.
    • उपलब्ध होने पर टोकन अंतर्दृष्टि अंत बिंदुओं का उपयोग करें।.
  • प्रदाता द्वारा प्रदान किए गए भूमिका डेटा पर कभी भरोसा न करें:
    • प्रदाता विशेषताओं से सीधे भूमिकाएँ असाइन न करें।.
    • पूर्वनिर्धारित मैपिंग का उपयोग करें और विशेषाधिकार परिवर्तनों के लिए प्रशासक अनुमोदन की आवश्यकता करें।.
  • विशेषाधिकार प्राप्त खातों को स्वचालित रूप से बनाने से बचें:
    • डिफ़ॉल्ट रूप से न्यूनतम विशेषाधिकार (सदस्य) के साथ नए खाते बनाएं।.
    • विशेषाधिकार बढ़ाने के लिए स्पष्ट प्रशासक कार्रवाई की आवश्यकता करें।.
  • कॉलबैक अंत बिंदुओं को सुरक्षित करें:
    • केवल अपेक्षित HTTP विधियों को स्वीकार करें और अनुरोध के मूल को उचित रूप से सत्यापित करें।.
  • सभी आने वाले डेटा को साफ करें और मान्य करें।.
  • मेटाडेटा के साथ सामाजिक-लॉगिन प्रयासों को लॉग करें और संदिग्ध पैटर्न (असफल स्थिति मान्यता, बार-बार गायब स्थिति) पर अलर्ट करें।.
  • क्लाइंट रहस्यों को सुरक्षित रूप से संग्रहीत करें (पर्यावरण चर, एन्क्रिप्टेड स्टोरेज) और पहुंच को प्रतिबंधित करें।.

कॉलबैक सत्यापन के लिए उदाहरण उच्च-स्तरीय छद्मकोड:

on_social_callback(request):

WAF / वर्चुअल पैच कैसे मदद करता है (और नियमों में क्या देखना है)

एक सही तरीके से कॉन्फ़िगर किया गया वेब एप्लिकेशन फ़ायरवॉल (WAF) या वर्चुअल पैच आधिकारिक अपडेट लागू करते समय जोखिम को कम कर सकता है। उपयोगी सुरक्षा में शामिल हैं:

  • Blocking requests to social-login callback URLs that contain suspicious or missing “state” parameters.
  • यह सुनिश्चित करना कि कॉलबैक अनुरोध अपेक्षित अनुरोध पैटर्न से मेल खाते हैं और वैध ब्राउज़र प्रवाह से उत्पन्न होते हैं।.
  • अनुरोधों के असामान्य अनुक्रमों को अस्वीकार करना (जैसे, बिना पूर्व लॉगिन प्रयासों के सीधे कॉलबैक पर POST करना)।.
  • सोशल-लॉगिन एंडपॉइंट्स का दुरुपयोग करने के लिए दोहराए गए प्रयासों की दर सीमा निर्धारित करना।.

अत्यधिक व्यापक नियमों से बचें जो वैध प्रदाता कॉलबैक को ब्लॉक करते हैं या ऐसे नियम जो केवल आसानी से धोखा देने वाले हेडर जैसे Referer पर निर्भर करते हैं।.

घटना के बाद की जांच और पुनर्प्राप्ति चेकलिस्ट

  1. साइट को अलग करें: साइट को रखरखाव मोड में डालें और विश्वसनीय IPs के लिए इनबाउंड ट्रैफ़िक को प्रतिबंधित करें।.
  2. सबूत को संरक्षित करें: फोरेंसिक्स के लिए लॉग, डेटाबेस स्नैपशॉट और फ़ाइल सिस्टम छवियों को सहेजें।.
  3. बैकडोर को हटा दें: दुर्भावनापूर्ण फ़ाइलों, क्रॉन नौकरियों और अनधिकृत व्यवस्थापक खातों की पहचान करें और उन्हें हटा दें।.
  4. क्रेडेंशियल्स और कुंजियों को मजबूत करें:
    • API कुंजियों, OAuth क्लाइंट रहस्यों और साइट क्रेडेंशियल्स को घुमाएँ।.
    • डेटाबेस और होस्टिंग नियंत्रण पैनल पासवर्ड को घुमाएँ।.
  5. यदि आवश्यक हो तो पुनर्निर्माण करें: जब सफाई की गारंटी नहीं दी जा सकती है, तो विश्वसनीय बैकअप से एक साफ वातावरण में फिर से तैनात करें।.
  6. पहुँच की समीक्षा करें: होस्टिंग खातों, SSH/SFTP उपयोगकर्ताओं और तृतीय-पक्ष एकीकरणों का ऑडिट करें।.
  7. निरंतर निगरानी करें: पुनः-संक्रमण का पता लगाने के लिए लॉगिंग और अलर्ट थ्रेशोल्ड को बढ़ाएँ।.
  8. हितधारकों को सूचित करें और उल्लंघन प्रकटीकरण के लिए किसी भी कानूनी या संविदात्मक दायित्वों का पालन करें।.

वर्डप्रेस साइट मालिकों के लिए निवारक हार्डनिंग चेकलिस्ट

  • वर्डप्रेस कोर, थीम और प्लगइन्स को अद्यतित रखें।.
  • मजबूत, अद्वितीय पासवर्ड का उपयोग करें और सभी प्रशासनिक खातों के लिए 2FA सक्षम करें।.
  • प्लगइन्स को विश्वसनीय, सक्रिय रूप से बनाए रखे जाने वाले प्रोजेक्ट्स तक सीमित करें और अप्रयुक्त एक्सटेंशन हटा दें।.
  • फ़ाइल अखंडता निगरानी और नियमित मैलवेयर स्कैन सक्षम करें।.
  • प्रशासनिक खातों को सीमित करें और उन्हें समय-समय पर ऑडिट करें।.
  • न्यूनतम विशेषाधिकार लागू करें: नए उपयोगकर्ताओं को न्यूनतम भूमिकाओं पर सेट करें।.
  • नियमित बैकअप शेड्यूल करें और पुनर्स्थापन प्रक्रियाओं का परीक्षण करें।.
  • नेटवर्क और एप्लिकेशन-स्तरीय सुरक्षा का उपयोग करें और एक घटना प्रतिक्रिया योजना बनाए रखें।.

केस थीम उपयोगकर्ता प्लगइन को सुरक्षित रूप से कैसे अपडेट करें (व्यावहारिक कदम)

  1. साइट का बैकअप लें: पूर्ण डेटाबेस और फ़ाइल बैकअप; अखंडता की पुष्टि करें।.
  2. स्टेजिंग पर परीक्षण करें: जहां संभव हो, पहले स्टेजिंग वातावरण में अपडेट लागू करें।.
  3. उपयोगकर्ता विघटन को कम करने के लिए साइट को रखरखाव मोड में डालें।.
  4. WP Admin → Plugins के माध्यम से प्लगइन अपडेट करें या SFTP के माध्यम से नए संस्करण को अपलोड करें।.
  5. कार्यक्षमता की पुष्टि करें: सामाजिक लॉगिन प्रवाह (यदि अभी भी उपयोग में हैं), लॉगिन और प्रशासनिक कार्यों का परीक्षण करें।.
  6. अपडेट के बाद असामान्यताओं के लिए लॉग की समीक्षा करें।.
  7. पैचिंग और सत्यापन पूर्ण होने के बाद अस्थायी शमन हटा दें।.

समन्वित प्रकटीकरण और त्वरित पैचिंग क्यों महत्वपूर्ण हैं

प्रमाणीकरण दोष एप्लिकेशन विश्वास के मूल पर हमला करते हैं। त्वरित प्रकटीकरण और समय पर सुधार बड़े पैमाने पर शोषण की खिड़की को कम करते हैं। प्लगइन लेखकों को एक स्पष्ट संवेदनशीलता प्रकटीकरण प्रक्रिया बनाए रखनी चाहिए और सुधारों को तुरंत प्रकाशित करना चाहिए। साइट मालिकों को महत्वपूर्ण अपडेट को तेजी से लागू करने के लिए नीतियाँ और प्रक्रियाएँ होनी चाहिए (स्टेजिंग + निगरानी की सिफारिश की जाती है)।.

उपयोगी निगरानी नियम और लॉग हस्ताक्षर (उदाहरण)

  • 2025-08-22 के बाद बनाए गए नए व्यवस्थापक उपयोगकर्ताओं पर अलर्ट:

    SQL (concept): SELECT * FROM wp_users WHERE user_registered >= ‘2025-08-22’ AND user_login NOT IN (known_admins)
  • wp-content/themes या uploads निर्देशिकाओं में फ़ाइल लेखन के बाद लॉगिन घटनाओं पर अलर्ट।.
  • अनुप्रयोग अंत बिंदुओं पर POST अनुरोधों पर अलर्ट जो गायब/अमान्य राज्य टोकन के साथ हैं।.
  • एकल IP से बार-बार कॉलबैक प्रयासों पर दर-सीमा और अलर्ट।.

वास्तविक दुनिया में शमन नोट

सामाजिक-लॉगिन कोड में देखे गए सामान्य एंटी-पैटर्न में प्रदाता द्वारा प्रदान किए गए डेटा पर बहुत जल्दी भरोसा करना और भूमिकाओं को स्वचालित रूप से असाइन करना शामिल है। एक सुरक्षित दृष्टिकोण पहचान सत्यापन को विशेषाधिकार असाइनमेंट से अलग करना है: न्यूनतम विशेषाधिकारों के साथ स्वचालित रूप से खाते बनाएं और ऊंची भूमिकाओं के लिए एक व्यवस्थापक कार्यप्रवाह की आवश्यकता करें।.

अंतिम अनुशंसाएँ

  1. केस थीम उपयोगकर्ता को तुरंत 1.0.4 में अपडेट करें।.
  2. यदि अपडेट संभव नहीं है, तो सामाजिक लॉगिन को अक्षम करें और कॉलबैक दुरुपयोग को रोकने के लिए लक्षित आभासी पैचिंग/WAF नियम लागू करें।.
  3. समझौते के संकेतों के लिए उपयोगकर्ता खातों, लॉग और फ़ाइल अखंडता का ऑडिट करें।.
  4. बहु-स्तरीय रक्षा अपनाएं: सुरक्षित कोडिंग, अनुप्रयोग सुरक्षा, हार्डनिंग और निगरानी।.
  5. यदि आवश्यक हो, तो जांच और पुनर्प्राप्ति में सहायता के लिए एक प्रतिष्ठित सुरक्षा सलाहकार को शामिल करें।.

परिशिष्ट — सहायक संसाधन

  • CVE रिकॉर्ड: CVE-2025-5821
  • पैच: केस थीम उपयोगकर्ता प्लगइन 1.0.4
  • सुझाए गए लॉग खोज और हार्डनिंग कदम ऊपर शामिल हैं।.

यदि आप अपने वातावरण (होस्टेड या स्व-प्रबंधित) के लिए अनुकूलित घटना चेकलिस्ट चाहते हैं, तो एक अनुभवी सुरक्षा पेशेवर से परामर्श करें जो कार्यों को प्राथमिकता दे सके और सुरक्षात्मक नियमों की तैनाती और फोरेंसिक जांच में सहायता कर सके।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा सलाह ओगुलो 360 XSS(CVE20259131)

अगला लेख —

सामुदायिक अलर्ट Bravis प्लगइन खाता अधिग्रहण (CVE20255060)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

सुरक्षा सलाहकार उपयोगकर्ता पंजीकरण CSRF (CVE20259892) को प्रतिबंधित करें

  • अक्टूबर 3, 2025
वर्डप्रेस उपयोगकर्ता पंजीकरण प्रतिबंधित प्लगइन <= 1.0.1 - सेटिंग्स अपडेट भेद्यता के लिए क्रॉस-साइट अनुरोध धोखाधड़ी