Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सिविल सोसाइटी अलर्ट BookWidgets XSS(CVE202510139)

वर्डप्रेस WP बुकविजेट्स प्लगइन
0
शेयर
0
0
0
0
प्लगइन का नाम WP बुकविजेट्स
कमजोरियों का प्रकार प्रमाणित संग्रहीत XSS
CVE संख्या CVE-2025-10139
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-10-15
स्रोत URL CVE-2025-10139

WP बुकविजेट्स (<= 0.9) — प्रमाणित (योगदानकर्ता+) संग्रहीत XSS: वर्डप्रेस साइट मालिकों को क्या जानना चाहिए

प्रकाशित: 15 अक्टूबर 2025
गंभीरता: CVSS 6.5 (मध्यम / तत्काल व्यापक शोषण के लिए कम प्राथमिकता)
CVE: CVE-2025-10139
प्रभावित प्लगइन: WP BookWidgets (संस्करण ≤ 0.9)
आवश्यक विशेषाधिकार: योगदानकर्ता (प्रमाणित)
सुधार उपलब्धता: प्रकाशन के समय कोई आधिकारिक समाधान उपलब्ध नहीं है

एक हांगकांग सुरक्षा सलाहकार के रूप में, जो वर्डप्रेस घटना प्रतिक्रिया में अनुभवी है, मैं WP बुकविजेट्स (संस्करण 0.9 तक) में खोजे गए संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) मुद्दे का संक्षिप्त, व्यावहारिक विश्लेषण प्रस्तुत करूंगा। यह एक संग्रहीत XSS है जो एक प्रमाणित उपयोगकर्ता को योगदानकर्ता विशेषाधिकार के साथ जावास्क्रिप्ट इंजेक्ट करने की अनुमति देता है जो अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित हो सकता है। CVSS मध्यम स्तर का है, लेकिन वास्तविक दुनिया का जोखिम इस बात पर निर्भर करता है कि प्लगइन योगदानकर्ता द्वारा प्रस्तुत सामग्री को कहां प्रदर्शित करता है और कौन से खाते इसे देखते हैं।.

कार्यकारी सारांश (TL;DR)

  • WP बुकविजेट्स (<= 0.9) में एक संग्रहीत XSS है जिसे एक लॉगिन किए हुए योगदानकर्ता द्वारा शोषित किया जा सकता है।.
  • योगदानकर्ताओं द्वारा प्रस्तुत पेलोड्स को बनाए रखा जा सकता है और बाद में अन्य उपयोगकर्ताओं को उचित एस्केपिंग के बिना प्रदर्शित किया जा सकता है।.
  • परिणामों में सामग्री हेरफेर, रीडायरेक्ट, सत्र चोरी और संभावित प्रशासक समझौता शामिल हैं जब पेलोड्स विशेषाधिकार प्राप्त संदर्भों में निष्पादित होते हैं।.
  • अभी तक कोई आधिकारिक पैच उपलब्ध नहीं है। तत्काल कार्रवाईयों को जोखिम को कम करने पर ध्यान केंद्रित करना चाहिए: योगदानकर्ता इनपुट को सीमित करें, जहां संभव हो प्लगइन को अक्षम करें, संग्रहीत डेटा को साफ करें, और यदि आप एक WAF संचालित करते हैं तो वर्चुअल पैचिंग/WAF नियम लागू करें।.
  • यदि आपको समझौता होने का संदेह है तो नीचे दिए गए पहचान और सफाई प्लेबुक का पालन करें।.

संग्रहीत XSS क्या है और यह यहां क्यों महत्वपूर्ण है

संग्रहीत XSS तब होता है जब दुर्भावनापूर्ण इनपुट सर्वर (डेटाबेस, फ़ाइलें, आदि) पर सहेजा जाता है और बाद में उचित आउटपुट एन्कोडिंग के बिना उपयोगकर्ताओं को एक वेब पृष्ठ के हिस्से के रूप में परोसा जाता है। संग्रहीत XSS समय के साथ कई उपयोगकर्ताओं को प्रभावित कर सकता है और विशेष रूप से खतरनाक होता है जब संग्रहीत सामग्री प्रशासनिक इंटरफेस में प्रदर्शित होती है, क्योंकि निष्पादित कोड दर्शक के संदर्भ में चलता है (संभवतः एक प्रशासक)।.

यह मुद्दा महत्वपूर्ण है क्योंकि इसे एक योगदानकर्ता-स्तरीय खाते द्वारा सक्रिय किया जा सकता है - एक भूमिका जो अक्सर बाहरी लेखकों या अतिथि योगदानकर्ताओं के लिए उपयोग की जाती है। यदि प्लगइन योगदानकर्ता द्वारा प्रस्तुत HTML को प्रशासनिक समीक्षा स्क्रीन, पूर्वावलोकन, या सार्वजनिक पृष्ठों में प्रदर्शित करता है, तो एक दुर्भावनापूर्ण स्क्रिप्ट एक प्रशासक या संपादक के ब्राउज़र में निष्पादित हो सकती है और उनके विशेषाधिकार के साथ क्रियाएँ कर सकती है।.

WP बुकविजेट्स मुद्दा कैसे काम करता है (उच्च स्तर)

  • एक योगदानकर्ता प्लगइन UI (विजेट सामग्री, पुस्तक विजेट, शॉर्टकोड, या अन्य इनपुट) के माध्यम से सामग्री प्रस्तुत करता है।.
  • प्लगइन वह सामग्री बिना पर्याप्त सफाई के संग्रहीत करता है या बाद में रेंडर करते समय इसे गलत तरीके से एस्केप करता है।.
  • जब कोई अन्य उपयोगकर्ता (प्रशासक, संपादक, या आगंतुक) उस पृष्ठ को देखता है जहाँ सामग्री प्रदर्शित होती है, तो संग्रहीत JavaScript दर्शक के ब्राउज़र में निष्पादित होती है।.
  • पृष्ठ के संदर्भ के आधार पर, स्क्रिप्ट कुकीज़/सत्र टोकन चुरा सकती है, प्रमाणित क्रियाएँ (AJAX अनुरोध) कर सकती है, अतिरिक्त दुर्भावनापूर्ण सामग्री इंजेक्ट कर सकती है, या स्थायी बैकडोर बना सकती है।.

क्योंकि शोषण के लिए एक योगदानकर्ता खाता आवश्यक है, हमलावर ऐसे खातों को पंजीकृत करने या सामाजिक इंजीनियरिंग, कमजोर पंजीकरण नियंत्रण, या अन्य साइट कमजोरियों के माध्यम से प्राप्त करने का प्रयास कर सकते हैं।.

यथार्थवादी हमले के परिदृश्य

  1. प्रशासक UI रेंडरिंग के माध्यम से प्रशासक अधिग्रहण
    यदि योगदानकर्ता सामग्री केवल प्रशासक की समीक्षा स्क्रीन में रेंडर की जाती है, तो एक हमलावर JS संग्रहीत कर सकता है जो तब चलता है जब एक प्रशासक उस स्क्रीन को खोलता है। स्क्रिप्ट AJAX के माध्यम से एक नया प्रशासक बना सकती है या विकल्पों को संशोधित कर सकती है, जिससे साइट का अधिग्रहण संभव हो जाता है।.
  2. उपयोगकर्ता-फेसिंग पृष्ठों से क्रेडेंशियल या टोकन चोरी
    यदि प्रस्तुत की गई सामग्री सार्वजनिक साइट पर दिखाई देती है (पुस्तक पूर्वावलोकन, एम्बेडेड विजेट), तो इंजेक्ट की गई JS आगंतुकों से कुकीज़ या टोकन कैप्चर कर सकती है और उन्हें बाहर निकाल सकती है।.
  3. मालविज्ञापन / रीडायरेक्ट
    हमलावर रीडायरेक्ट स्क्रिप्ट या विज्ञापन कोड इंजेक्ट कर सकते हैं जो प्रतिष्ठा को नुकसान पहुंचाता है, ब्लैकलिस्टिंग को ट्रिगर करता है, या SEO दंड का कारण बनता है।.
  4. पार्श्व आंदोलन / स्थिरता
    निष्पादित JS का उपयोग बैकडोर अपलोड करने, थीम फ़ाइलों में दुर्भावनापूर्ण जावास्क्रिप्ट जोड़ने (प्रमाणित अनुरोधों के माध्यम से), या आगे के पेलोड्स वाले अनुसूचित पोस्ट बनाने के लिए किया जा सकता है।.

समझौते के संकेत (IoC) और अब क्या देखना है

यदि आपको संदेह है कि आपकी साइट प्रभावित है, तो निम्नलिखित की जांच करें:

  • योगदानकर्ता या उच्चतर भूमिकाओं वाले अपरिचित उपयोगकर्ता; हाल की पंजीकरण और भूमिका परिवर्तनों का ऑडिट करें।.
  • हाल की पोस्ट, कस्टम पोस्ट प्रकार, प्लगइन मेटा या विजेट डेटा जिसमें शामिल है