Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक चेतावनी JoomSport निर्देशिकाTraversal Vulnerability(CVE20257721)

वर्डप्रेस JoomSport प्लगइन
0
शेयर
0
0
0
0






Urgent: JoomSport ≤ 5.7.3 — Unauthenticated Directory Traversal → LFI (CVE-2025-7721)


प्लगइन का नाम जूमस्पोर्ट
कमजोरियों का प्रकार निर्देशिकाTraversal
CVE संख्या CVE-2025-7721
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2025-10-03
स्रोत URL CVE-2025-7721

तत्काल: JoomSport ≤ 5.7.3 — अनधिकृत निर्देशिकाTraversal → स्थानीय फ़ाइल समावेश (CVE-2025-7721)

दिनांक: 03 अक्टूबर 2025  |  गंभीरता: उच्च (CVSS 8.1)  |  प्रभावित: JoomSport वर्डप्रेस प्लगइन ≤ 5.7.3  |  ठीक किया गया: 5.7.4  |  अनुसंधान श्रेय: mikemyers

हांगकांग के एक सुरक्षा विशेषज्ञ से नोट: यह सलाह समस्या की तकनीकी प्रकृति, हांगकांग और विश्वभर में साइटों के लिए जोखिम, पहचान मार्गदर्शन, और स्पष्ट, प्राथमिकता वाले सुधारात्मक कदमों का सारांश देती है। मैं विक्रेता समर्थन से बचता हूँ; मार्गदर्शन संचालनात्मक और उपकरण-निष्पक्ष है ताकि आप इसे तुरंत अपने वातावरण में लागू कर सकें।.

TL;DR — हर साइट के मालिक को क्या जानने की आवश्यकता है

  • क्या: अनधिकृत निर्देशिकाTraversal जो JoomSport प्लगइन संस्करणों ≤ 5.7.3 में स्थानीय फ़ाइल समावेश (LFI) को सक्षम करता है।.
  • जोखिम: एक हमलावर वेब सर्वर से फ़ाइलें पढ़ने के लिए अनुरोध तैयार कर सकता है और उनकी सामग्री प्राप्त कर सकता है (जैसे, wp-config.php, .env, लॉग)। इससे DB क्रेडेंशियल्स, API कुंजी, या अन्य रहस्यों का खुलासा हो सकता है और पूर्ण समझौता हो सकता है।.
  • प्रभाव स्कोर: CVSS 8.1 (उच्च)।.
  • समाधान: JoomSport को 5.7.4 या बाद के संस्करण में जल्द से जल्द अपग्रेड करें।.
  • अंतरिम शमन: यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अल्पकालिक सुरक्षा लागू करें: किनारे परTraversal अनुक्रमों को अवरुद्ध करें, सर्वर स्तर पर संवेदनशील फ़ाइलों तक पहुँच को प्रतिबंधित करें, और PHP सेटिंग्स को मजबूत करें।.
  • पहचान: ../ या एन्कोडेड रूपों वाले अनुरोधों, wp-config.php/.env के लिए अनुरोधों, और प्लगइन अंत बिंदुओं के लिए असामान्य अनुरोध पैटर्न की निगरानी करें।.
  • प्राथमिकता कार्य: 1) प्लगइन अपडेट करें; 2) यदि अपडेट में देरी हो रही है तो अस्थायी अवरोध नियम और सर्वर प्रतिबंध लागू करें; 3) लॉग और फ़ाइल प्रणाली का ऑडिट करें; 4) यदि समझौता पुष्टि हो गया है, तो नीचे दिए गए घटना प्रतिक्रिया कदमों का पालन करें।.

पृष्ठभूमि — JoomSport क्या है और यह क्यों महत्वपूर्ण है

JoomSport एक वर्डप्रेस प्लगइन है जिसका उपयोग खेल लीग, परिणाम और कार्यक्रमों को प्रबंधित करने के लिए किया जाता है। कोई भी प्लगइन हमले की सतह को बढ़ाता है; यह भेद्यता विशेष रूप से खतरनाक है क्योंकि इसे अनधिकृत अभिनेताओं द्वारा दूरस्थ रूप से शोषित किया जा सकता है और यह सीधे प्लगइन अंत बिंदु के माध्यम से स्थानीय फ़ाइलों को उजागर कर सकता है।.

  • अनधिकृत ट्रिगर: हमलावरों को क्रेडेंशियल्स की आवश्यकता नहीं होती।.
  • निर्देशिकाTraversal + फ़ाइल समावेश:Traversal टोकन हमलावरों को इच्छित पथों से बाहर निकलने और मनमाने पढ़ने योग्य फ़ाइलों को शामिल करने की अनुमति देते हैं।.
  • बड़े पैमाने पर स्वचालित स्कैन की उम्मीद: इन दोषों के वर्गों को सक्रिय रूप से स्कैन और शोषित किया जा रहा है।.

कमजोरियों का अवलोकन (तकनीकी सारांश - कोई शोषण कोड नहीं)

उच्च स्तर पर, समस्या एक निर्देशिका traversal कमजोरी है जो LFI की ओर ले जाती है। प्लगइन एक फ़ाइल पथ पैरामीटर स्वीकार करता है और इसे साफ़ या सामान्यीकृत करने में विफल रहता है, जिससे traversal अनुक्रम (../ और एन्कोडेड संस्करण) को इच्छित निर्देशिका के बाहर फ़ाइलों तक पहुँचने की अनुमति मिलती है। जब एप्लिकेशन प्रदान किए गए पथ को पढ़ता या शामिल करता है, तो स्थानीय फ़ाइलों की सामग्री HTTP प्रतिक्रिया में लौटाई जा सकती है।.

प्रमुख विशेषताएँ:

  • ट्रिगर: एक JoomSport एंडपॉइंट के लिए तैयार HTTP अनुरोध जो एक फ़ाइल पथ पैरामीटर लेता है।.
  • पेलोड वेक्टर: निर्देशिका traversal टोकन जैसे ../, %2e%2e%2f, डबल-एन्कोडेड संस्करण, या NUL-टर्मिनेटेड हमले।.
  • प्रभाव: स्थानीय फ़ाइलें पढ़ी या शामिल की जाती हैं और उनकी सामग्री हमलावर को लौटाई जाती है।.
  • विशेषाधिकार: बिना प्रमाणीकरण के।.
  • दायरा: कोई भी फ़ाइल जिसे वेब सर्वर द्वारा पढ़ा जा सके (आमतौर पर wp-config.php, प्लगइन/थीम फ़ाइलें, लॉग, बैकअप, कभी-कभी सिस्टम फ़ाइलें जैसे /etc/passwd).
  • विक्रेता सुधार: JoomSport 5.7.4 में एक पैच जारी किया गया है जो इनपुट को साफ़ करता है और असुरक्षित समावेश व्यवहार को हटा देता है।.

स्थानीय फ़ाइल समावेश WordPress साइटों के लिए क्यों खतरनाक है

  1. wp-config.php का खुलासा - DB क्रेडेंशियल्स और साल्ट को उजागर करता है।.
  2. फ़ाइलों में संग्रहीत API कुंजी, टोकन और क्रेडेंशियल्स का खुलासा।.
  3. लॉग और बैकअप पढ़ना - संवेदनशील संचालन डेटा हो सकता है।.
  4. दूरस्थ कोड निष्पादन के लिए चेनिंग - LFI अक्सर लिखने योग्य लॉग, फ़ाइल अपलोड सुविधाओं या अन्य कमजोरियों के साथ मिलकर बढ़ता है।.
  5. गोपनीयता और अनुपालन के निहितार्थ - उजागर उपयोगकर्ता डेटा नियामक दायित्वों को ट्रिगर कर सकता है।.

कौन जोखिम में है

  • कोई भी WordPress साइट जो JoomSport ≤ 5.7.3 चला रही है और जिसका प्लगइन एंडपॉइंट सार्वजनिक इंटरनेट से पहुंच योग्य है।.
  • कमजोर सर्वर हार्डनिंग या उदार PHP सेटिंग्स वाले साइट्स।.
  • बिना निगरानी या हाल के बैकअप वाले साइट्स।.

यदि आप अपने संस्करण के बारे में सुनिश्चित नहीं हैं, तो WordPress Admin → Plugins की जांच करें या डिस्क पर प्लगइन फ़ोल्डर का निरीक्षण करें।.

तात्कालिक, प्राथमिकता वाले सुधारात्मक कदम

इन कदमों को क्रम में लागू करें। सूची गति और प्रभाव को प्राथमिकता देती है।.

1) प्लगइन को 5.7.4 या बाद के संस्करण में अपडेट करें

यह विक्रेता द्वारा प्रदान किया गया सुधार है जो कमजोर कोड पथ को हटा देता है। यदि संभव हो तो तुरंत अपडेट करें।.

wp प्लगइन अपडेट जूमस्पोर्ट

यदि प्लगइन का व्यवहार आपकी साइट के लिए महत्वपूर्ण है तो स्टेजिंग पर अपडेट का परीक्षण करें।.

2) किनारे पर अल्पकालिक ब्लॉकिंग (यदि आप तुरंत अपग्रेड नहीं कर सकते)

लक्षित ब्लॉकिंग नियम लागू करें (वेब सर्वर, रिवर्स प्रॉक्सी या WAF) ताकि उन अनुरोधों को अस्वीकार किया जा सके जो प्लगइन एंडपॉइंट्स को लक्षित करने वाले ट्रैवर्सल पैटर्न को शामिल करते हैं। स्पष्ट पेलोड जैसे कि ../, %2e%2e%2f, डबल-कोडित वेरिएंट, और ज्ञात कॉन्फ़िग फ़ाइलों तक पहुँचने का प्रयास करने वाले अनुरोधों को ब्लॉक करें।.

अत्यधिक व्यापक अस्वीकृति नियमों का उपयोग न करें - यदि संभव हो तो वैध उपयोग को तोड़ने से बचने के लिए पहले लॉग-केवल मोड में निगरानी करें।.

3) सर्वर स्तर पर संवेदनशील फ़ाइलों तक पहुँच को प्रतिबंधित करें

कॉन्फ़िगरेशन और बैकअप फ़ाइलों तक सीधे वेब पहुँच को रोकें। उदाहरण:

अपाचे (.htaccess):

<Files "wp-config.php">
  Require all denied
</Files>

एनजिनक्स:

location ~* wp-config.php {

4) PHP कॉन्फ़िगरेशन को मजबूत करें

  • सेट allow_url_include = बंद
  • सक्षम करें open_basedir PHP फ़ाइलों की पहुँच को आवश्यक निर्देशिकाओं तक सीमित करने के लिए
  • सेट expose_php = बंद

5) समझौते के संकेतकों (IOC) के लिए लॉग और फ़ाइल सिस्टम को स्कैन करें

  • ट्रैवर्सल टोकन के लिए एक्सेस लॉग खोजें: ../, %2e%2e%2f, %252e%252e%252f, ..%5c
  • लिखने योग्य निर्देशिकाओं (अपलोड, कैश) में नए या संशोधित PHP फ़ाइलों की जाँच करें
  • नए व्यवस्थापक उपयोगकर्ताओं, बदले गए भूमिकाओं, अप्रत्याशित अनुसूचित कार्यों की तलाश करें

6) यदि समझौता संदेहास्पद है - घटना प्रतिक्रिया

  1. साइट को अलग करें (रखरखाव मोड, आईपी प्रतिबंध)।.
  2. फोरेंसिक साक्ष्य को संरक्षित करें: सर्वर लॉग, फ़ाइल स्नैपशॉट, DB डंप।.
  3. दायरा पहचानें: कौन सी फ़ाइलें पहुँची गईं और कब।.
  4. स्थिरता को हटाएँ: वेबशेल, संशोधित फ़ाइलें, दुर्भावनापूर्ण क्रॉन कार्य।.
  5. क्रेडेंशियल्स को घुमाएँ: DB, WP व्यवस्थापक, FTP/SFTP, होस्टिंग नियंत्रण पैनल और फ़ाइलों में पाए गए किसी भी API कुंजी।.
  6. एक साफ बैकअप से पुनर्स्थापित करें या ज्ञात-भले स्रोतों से पुनर्निर्माण करें; पहले पैचिंग और हार्डनिंग सुनिश्चित करें।.

पहचान: शोषण प्रयासों को कैसे पहचानें

निम्नलिखित संकेतकों के लिए वेब और एप्लिकेशन लॉग की निगरानी करें:

  • अनुरोध URI जिसमें ट्रैवर्सल अनुक्रम शामिल हैं: ../, ..%2F, %2e%2e%2f, डबल-कोडित रूपांतर या NUL-कोडित पैटर्न।.
  • JoomSport एंडपॉइंट्स पर अनुरोध जिनमें नामित पैरामीटर हैं फ़ाइल, पथ, टेम्पलेट, शामिल करें, पृष्ठ, आदि।.
  • प्रतिक्रियाएँ या लॉग जिनमें स्ट्रिंग्स शामिल हैं जैसे DB_NAME, DB_PASSWORD, AUTH_KEY, या सिस्टम फ़ाइलों के सबूत।.
  • एकल IPs या उपयोगकर्ता-एजेंट्स से समान अनुरोधों की उच्च दर जो स्कैनर्स के लिए विशिष्ट हैं (खाली, सामान्य, या असामान्य UA स्ट्रिंग्स)।.

अपने लॉग प्रबंधन या निगरानी स्टैक में इन व्यवहारों के लिए अलर्ट सेट करें और जांच के लिए मिलान करने वाले लॉग को संरक्षित करें।.

सुझाए गए एज-नियम अवधारणाएँ (अल्पकालिक वर्चुअल पैचिंग के लिए)

निम्नलिखित अवधारणात्मक नियम विचार हैं - इन्हें अपने फ़ायरवॉल इंजन के लिए अनुकूलित करें। निगरानी मोड में शुरू करें और झूठे सकारात्मक को कम करने के लिए ट्यून करें।.

  • ट्रैवर्सल टोकन वाले क्वेरी स्ट्रिंग या POST बॉडी को ब्लॉक करें: \.\./, %2e%2e%2f, %252e%252e%252f, \.\.\\.
  • उन अनुरोधों को ब्लॉक करें जहाँ पैरामीटर में फ़ाइल नाम होते हैं जैसे wp-config.php, .env, /etc/passwd, या पूर्ण पथ।.
  • उन IPs को थ्रॉटल करें जो एक छोटे समय में प्लगइन एंडपॉइंट्स पर बार-बार ट्रैवर्सल प्रयास भेजते हैं।.
  • वैकल्पिक रूप से, डेटाबेस या कॉन्फ़िग मार्करों के लिए बिना प्रमाणीकरण वाले उत्तरों का निरीक्षण करें और यदि मौजूद हो तो अलर्ट करें।.

पहचान के लिए उदाहरणात्मक कॉन्सेप्चुअल regex (अपने इंजन के लिए अनुकूलित करें):

(?:\.\./|%2e%2e%2f|%252e%252e%252f|%2e%2e%5c|%5c\.\.)

सर्वर हार्डनिंग के सर्वोत्तम अभ्यास (तत्काल WAF से परे)

  • फ़ाइल अनुमतियाँ: जहाँ संभव हो, निर्देशिकाओं को 755 और फ़ाइलों को 644 पर सेट करें; 777 से बचें।.
  • न्यूनतम विशेषाधिकार DB उपयोगकर्ता: केवल वही अनुमतियाँ दें जो WordPress को आवश्यक हैं।.
  • जहाँ संभव हो, खतरनाक PHP फ़ंक्शंस को निष्क्रिय करें (exec, shell_exec, आदि) के माध्यम से disable_functions.
  • सक्षम करें open_basedir PHP को आवश्यक निर्देशिकाओं में सीमित करने के लिए।.
  • ट्रांजिट में क्रेडेंशियल्स की सुरक्षा के लिए HTTPS और HSTS का उपयोग करें।.
  • नियमित, ऑफ-साइट बैकअप रखें जिनमें संस्करणन हो; पुनर्स्थापनों का परीक्षण करें।.
  • कोर, प्लगइन, थीम और अपलोड फ़ोल्डरों में अप्रत्याशित परिवर्तनों के लिए फ़ाइल अखंडता की निगरानी करें।.
  • स्थापित प्लगइनों को न्यूनतम करें - जो उपयोग में नहीं हैं उन्हें हटा दें।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आपको शोषण के सबूत मिलते हैं)

  1. साइट को अलग करें: तुरंत सार्वजनिक पहुंच को प्रतिबंधित करें।.
  2. फोरेंसिक कॉपियां बनाएं: लॉग, फ़ाइल सिस्टम स्नैपशॉट, DB डंप।.
  3. वेक्टर और दायरा निर्धारित करें: LFI शोषण की पुष्टि करें और पहुंची गई फ़ाइलों की सूची बनाएं।.
  4. स्थिरता को हटा दें: वेबशेल, दुर्भावनापूर्ण फ़ाइलें, बागी व्यवस्थापक खाते, अनुसूचित कार्य।.
  5. रहस्यों को घुमाएं और अपडेट करें नमक/कुंजी में wp-config.php.
  6. साफ स्रोतों से पुनर्निर्माण करें या पूर्व-समझौता बैकअप से पुनर्स्थापित करें, फिर पैच फिर से लागू करें।.
  7. पुनर्प्राप्ति के बाद, निगरानी, कड़े किनारे के नियम और पुनरावृत्ति को रोकने के लिए हार्डनिंग लागू करें।.

यदि आपके पास आंतरिक फोरेंसिक क्षमता की कमी है, तो एक अनुभवी घटना प्रतिक्रिया पेशेवर को शामिल करें - सबूत और पुनर्प्राप्ति को गलत तरीके से संभालना प्रभाव को बढ़ा सकता है।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: मैंने 5.7.4 में अपडेट किया - क्या मैं सुरक्षित हूँ?

उत्तर: अपडेट करना सबसे महत्वपूर्ण कार्रवाई है। यदि आपने किसी भी शोषण से पहले अपडेट किया, तो यह संवेदनशील कोड पथों को हटा देता है। फिर भी, अपडेट से पहले संदिग्ध गतिविधि के लिए पहुंच लॉग की समीक्षा करें ताकि यह सत्यापित हो सके कि कोई पूर्व समझौता नहीं हुआ था।.

प्रश्न: मैं कस्टमाइज़ेशन के कारण प्लगइन को अपडेट नहीं कर सकता - मैं क्या कर सकता हूँ?

उत्तर: किनारे पर अल्पकालिक अवरोध लागू करें, यदि संभव हो तो प्रभावित एंडपॉइंट तक पहुंच को IP या प्रमाणीकरण द्वारा प्रतिबंधित करें, सर्वर सेटिंग्स को मजबूत करें, और कस्टमाइज़ेशन को हटाने या उन्हें ठीक किए गए प्लगइन के साथ संगत बनाने की योजना को प्राथमिकता दें।.

प्रश्न: क्या अवरोध ../ सभी हमलों को रोकता है?

उत्तर: शाब्दिक ट्रैवर्सल टोकन को अवरुद्ध करना कई हमलों के लिए मदद करता है, लेकिन हमलावर एन्कोडिंग या वैकल्पिक वेक्टर का उपयोग कर सकते हैं। परतदार नियंत्रण का उपयोग करें: पैचिंग, किनारे अवरोध, सर्वर हार्डनिंग और निगरानी को एक साथ।.

प्रश्न: क्या मुझे प्लगइन अनइंस्टॉल करना चाहिए?

A: यदि आप प्लगइन का उपयोग नहीं करते हैं, तो इसे अनइंस्टॉल करें। हर स्थापित प्लगइन जोखिम बढ़ाता है। यदि इसकी आवश्यकता है, तो इसे अपडेट करें या इसे अलग करें जबकि आप समाधान की योजना बनाते हैं।.

व्यावहारिक, समय-सीमित क्रियाएँ:

  • 1 घंटे के भीतर: पुष्टि करें कि क्या JoomSport स्थापित है और संस्करण जांचें। यदि कमजोर और अपडेट करने योग्य है, तो 5.7.4 में अपग्रेड करें।.
  • 24 घंटे के भीतर: यदि अपग्रेड संभव नहीं है, तो एज-ब्लॉकिंग नियम और सर्वर प्रतिबंध लागू करें; संदिग्ध अनुरोधों के लिए लॉग स्कैन करें।.
  • 72 घंटे के भीतर: पूर्ण फ़ाइल और कॉन्फ़िगरेशन स्कैन पूरा करें; यदि एक्सपोजर का संदेह है तो क्रेडेंशियल्स को घुमाएँ; निरंतर निगरानी सक्षम करें।.
  • 2 सप्ताह के भीतर: स्थापित प्लगइन्स का ऑडिट करें, अप्रयुक्त को हटा दें, और उपयोगकर्ता खातों और अनुमतियों की समीक्षा करें।.

उदाहरण लॉग खोज क्वेरी (प्रशासक)

लिनक्स होस्ट पर इन्हें प्रारंभिक बिंदुओं के रूप में उपयोग करें। यदि आपको हिट मिलते हैं तो लॉग को संरक्षित करें।.

grep -E '(\.\./|%2e%2e%2f|%252e%252e%252f|%2e%2e%5c|%5c\.\.)' /var/log/apache2/access.log
zgrep -E '(\.\./|%2e%2e%2f|%2e%2e%5c|%252e%252e%252f)' /var/log/nginx/access.log*
grep -R "DB_PASSWORD" /var/www/html

परिणामों को सावधानी से संभालें ताकि जांच करते समय रहस्यों का खुलासा न हो।.

कई साइटों का प्रबंधन करने वाले होस्ट और एजेंसियों के लिए

  • सभी साइटों में प्लगइन संस्करणों का एक सूची बनाए रखें ताकि जल्दी से प्राथमिकता तय की जा सके।.
  • CVSS, साइट की महत्वपूर्णता और संवेदनशील डेटा की उपस्थिति के आधार पर पैचिंग को प्राथमिकता दें।.
  • जहां सुरक्षित हो, अपडेट को स्वचालित करें; मैनुअल परीक्षण की आवश्यकता वाली साइटों के लिए निर्धारित विंडो का उपयोग करें।.
  • पैमाने पर समाधान को तेज करने के लिए केंद्रीय रूप से प्रबंधित एज नियमों पर विचार करें।.
  • बैकअप स्वचालन और आवधिक पुनर्स्थापना परीक्षण सुनिश्चित करें।.

समापन विचार — अभी कार्य करें, बाद में सत्यापित करें

अनधिकृत LFI एक उच्च-जोखिम मुद्दा है जिसे हमलावर जल्दी से स्वचालित करते हैं। यदि आप JoomSport चला रहे हैं, तो तुरंत 5.7.4 में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो लक्षित एज ब्लॉकिंग लागू करें, संवेदनशील फ़ाइलों तक पहुंच को प्रतिबंधित करें, अपने PHP सेटिंग्स को मजबूत करें, और शोषण के संकेतों के लिए लॉग स्कैन करें। एक स्तरित दृष्टिकोण — पैचिंग, मजबूत करना और निगरानी करना — जोखिम को कम करने का सबसे प्रभावी तरीका है।.

यदि आपको प्राथमिकता, फोरेंसिक या पुनर्प्राप्ति में सहायता की आवश्यकता है, तो गलतियों से बचने के लिए अनुभवी उत्तरदाताओं को शामिल करें जो एक घटना को बढ़ा या खराब कर सकती हैं।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा सलाह MPWizard CSRF जोखिम (CVE20259885)

अगला लेख —

हांगकांग सुरक्षा सलाह Flexi प्लगइन XSS (CVE20259129)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा एनजीओ ने WPGYM LFI(CVE20253671) की चेतावनी दी है

  • अगस्त 16, 2025
WordPress WPGYM - Wordpress जिम प्रबंधन प्रणाली प्लगइन <= 67.7.0 - प्रमाणित (सदस्य+) स्थानीय फ़ाइल समावेश से विशेषाधिकार वृद्धि के लिए पासवर्ड अपडेट कमजोरियों।
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा ने WordPress मोज़ेक जनरेटर XSS (CVE20258621) की चेतावनी दी

  • अगस्त 11, 2025
WordPress मोज़ेक जनरेटर प्लगइन <= 1.0.5 - 'c' पैरामीटर भेद्यता के माध्यम से प्रमाणित (योगदानकर्ता+) संग्रहीत क्रॉस-साइट स्क्रिप्टिंग