Wवर्डप्रेस भेद्यता डेटाबेस

LearnPress XSS (CVE202514387) से हांगकांग साइटों की सुरक्षा

WordPress LearnPress प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0






Critical Update: Stored XSS in LearnPress (<= 4.3.1) — What WordPress Site Owners Must Do Now


प्लगइन का नाम लर्नप्रेस
कमजोरियों का प्रकार क्रॉस साइट स्क्रिप्टिंग
CVE संख्या CVE-2025-14387
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2025-12-16
स्रोत URL CVE-2025-14387

महत्वपूर्ण अपडेट: LearnPress (≤ 4.3.1) में स्टोर की गई XSS — वर्डप्रेस साइट के मालिकों को अब क्या करना चाहिए

दिनांक: 16 दिसंबर, 2025  |  गंभीरता: मध्यम (CVSS 6.5)  |  प्रभावित संस्करण: LearnPress ≤ 4.3.1  |  ठीक किया गया: LearnPress 4.3.2  |  रिपोर्ट किया गया: आर्केडियुज़ हाइडज़िक

सारांश (हांगकांग सुरक्षा विशेषज्ञ की आवाज): LearnPress के संस्करण 4.3.1 तक प्रभावित एक स्टोर की गई क्रॉस-साइट स्क्रिप्टिंग (XSS) समस्या को CVE‑2025‑14387 सौंपा गया है। यह भेद्यता एक प्रमाणित निम्न-privileged उपयोगकर्ता (आम तौर पर सब्सक्राइबर) को प्रोफ़ाइल फ़ील्ड में JavaScript सहेजने की अनुमति देती है, जो बाद में उचित एस्केपिंग के बिना प्रस्तुत की जाती है, जिससे स्थायी XSS सक्षम होता है। LearnPress संचालित करने वाले संगठन — विशेष रूप से छात्र या प्रशिक्षक प्रोफाइल वाले शिक्षण प्लेटफार्मों — को इसे उच्च प्राथमिकता वाले संचालन सुरक्षा कार्य के रूप में मानना चाहिए: विक्रेता पैच लागू करें और लक्षित स्कैन और कंटेनमेंट करें।.

कार्यकारी सारांश (त्वरित पढ़ाई)

  • क्या: LearnPress में स्टोर की गई XSS जहां प्रोफ़ाइल/सोशल फ़ील्ड में दुर्भावनापूर्ण JavaScript स्थायी हो सकता है (एंडपॉइंट: get_profile_social)।.
  • किसे प्रभावित करता है: LearnPress ≤ 4.3.1 चलाने वाली साइटें जो निम्न-privilege उपयोगकर्ताओं को प्रोफ़ाइल/सोशल फ़ील्ड संपादित करने की अनुमति देती हैं।.
  • प्रभाव: स्थायी XSS। इंजेक्टेड स्क्रिप्ट अन्य उपयोगकर्ताओं के ब्राउज़रों (प्रशासकों सहित) में चल सकती हैं, जिससे सत्र चोरी, अनधिकृत क्रियाएँ, रीडायरेक्ट और द्वितीयक पेलोड सक्षम होते हैं।.
  • समाधान: तुरंत LearnPress को 4.3.2 या बाद के संस्करण में अपडेट करें।.
  • अंतरिम शमन: वर्चुअल पैचिंग/WAF नियम लागू करें, निम्न-privilege भूमिकाओं के लिए प्रोफ़ाइल संपादन को प्रतिबंधित करें, और संदिग्ध सामग्री के लिए उपयोगकर्ता मेटा/प्लगइन तालिकाओं को स्कैन करें।.

भेद्यता की प्रकृति

यह समस्या एक स्टोर की गई (स्थायी) क्रॉस-साइट स्क्रिप्टिंग दोष है जो उपयोगकर्ता प्रोफ़ाइल इनपुट पर अपर्याप्त सफाई और आउटपुट एस्केपिंग की कमी के कारण होती है। एक प्रमाणित उपयोगकर्ता जिसके पास सब्सक्राइबर क्षमताएँ हैं, एक सर्वर एंडपॉइंट पर पेलोड भेज सकता है (रिपोर्ट किया गया है get_profile_social), जो संग्रहीत होते हैं और बाद में पृष्ठों में पर्याप्त एन्कोडिंग के बिना प्रस्तुत किए जाते हैं।.

प्रमुख तकनीकी बिंदु

  • प्रकार: स्टोर की गई XSS — पेलोड डेटाबेस में सहेजा जाता है।.
  • हमलावर के लिए पूर्वापेक्षाएँ: सब्सक्राइबर (या समकक्ष) विशेषाधिकारों के साथ एक प्रमाणित खाता — प्रशासनिक पहुंच की आवश्यकता नहीं है।.
  • गंभीरता प्रदर्शित संदर्भ पर निर्भर करती है: यदि स्टोर की गई फ़ील्ड प्रशासनिक पृष्ठों में या अन्य विशेषाधिकार प्राप्त उपयोगकर्ताओं को प्रदर्शित की जाती हैं, तो प्रभाव बढ़ता है।.
  • विक्रेता की प्रतिक्रिया: LearnPress 4.3.2 में पैच किया गया — प्राथमिक सुधार के रूप में अपडेट करें।.

क्यों स्टोर की गई XSS वर्डप्रेस साइटों के लिए खतरनाक है

स्टोर किया गया XSS विशेष रूप से वर्डप्रेस पारिस्थितिकी तंत्र में हानिकारक है क्योंकि प्रोफ़ाइल डेटा अक्सर कई संदर्भों में प्रस्तुत किया जाता है। परिणामों में शामिल हो सकते हैं:

  • कुकी या टोकन निकासी के माध्यम से सत्र चोरी और खाता अधिग्रहण।.
  • दुर्भावनापूर्ण स्क्रिप्ट (मैलवेयर, फ़िशिंग, रीडायरेक्ट) का निरंतर वितरण।.
  • प्रमाणित उपयोगकर्ताओं के संदर्भ में क्रियाएँ निष्पादित की जाती हैं (बाध्य अनुरोधों के माध्यम से विशेषाधिकार वृद्धि)।.
  • इंजेक्टेड सामग्री से ब्रांड, प्रतिष्ठा और SEO को नुकसान।.
  • डाउनस्ट्रीम/आपूर्ति श्रृंखला का जोखिम जब साइट बाहरी सिस्टम (SSO, भुगतान, LMS कनेक्टर्स) के साथ एकीकृत होती है।.

उच्च-स्तरीय तकनीकी विवरण (गैर-शोषणकारी)

  • वेक्टर: प्रोफ़ाइल/सोशल एंडपॉइंट्स के लिए प्रमाणित POST अनुरोध जो उपयोगकर्ता सामग्री को स्वीकार और स्टोर करते हैं।.
  • मूल कारण: स्टोर किए गए मानों को प्रस्तुत करते समय इनपुट मान्यता की कमी और अपर्याप्त आउटपुटescaping।.
  • आवश्यक विशेषाधिकार: सब्सक्राइबर या समान निम्न-विशेषाधिकार भूमिका।.
  • सुधार: LearnPress को 4.3.2 में अपडेट करें जहां विक्रेता इनपुट/आउटपुट हैंडलिंग को सही करता है।.
उत्पादन प्रणालियों पर शोषणों को पुन: उत्पन्न करने का प्रयास न करें।. इस सलाह का शेष भाग सुरक्षित, क्रियाशील सुधार और घटना प्रतिक्रिया पर केंद्रित है।.

प्रत्येक साइट के मालिक को तुरंत उठाने चाहिए ये कार्य (प्राथमिकता क्रम)

यदि आपकी साइट LearnPress चलाती है और उपयोगकर्ता पंजीकरण या प्रोफ़ाइल संपादन की अनुमति देती है, तो इन कार्यों को तुरंत करें।.

  1. LearnPress को 4.3.2 या बाद के संस्करण में अपडेट करें
    यह निश्चित समाधान है। अपडेट को वर्डप्रेस प्रशासन, CLI, या आपकी तैनाती पाइपलाइन के माध्यम से लागू करें। यदि आप एक स्टेजिंग/परीक्षण कार्यप्रवाह पर निर्भर हैं, तो तेजी से परीक्षण और तैनाती चक्र को प्राथमिकता दें।.
  2. जहां उपलब्ध हो, वर्चुअल पैचिंग / WAF नियम लागू करें
    यदि आपके पास एक वेब एप्लिकेशन फ़ायरवॉल या समान एज सुरक्षा है, तो स्पष्ट स्क्रिप्ट-जैसे पेलोड (जैसे, <script>, जावास्क्रिप्ट:, इनलाइन इवेंट हैंडलर्स) को ब्लॉक करने के लिए अस्थायी नियम लागू करें। सुनिश्चित करें कि नियमों का परीक्षण किया गया है ताकि वैध इनपुट को तोड़ने से बचा जा सके।.
  3. निम्न-विशेषाधिकार भूमिकाओं के लिए प्रोफ़ाइल संपादन को प्रतिबंधित करें
    जहां संभव हो, सब्सक्राइबर भूमिकाओं द्वारा प्रोफ़ाइल/सोशल फ़ील्ड संपादनों को अस्थायी रूप से निष्क्रिय करें या अनुमोदन की आवश्यकता करें। पैच होने तक सार्वजनिक पंजीकरण बंद करने पर विचार करें।.
  4. दुर्भावनापूर्ण सामग्री के लिए स्कैन और ऑडिट करें
    संदिग्ध उपस्ट्रिंग्स जैसे कि उपयोगकर्ता मेटा और प्लगइन तालिकाओं में खोजें 9. या विशेषताओं जैसे onload=, जावास्क्रिप्ट:, त्रुटि होने पर=, 11. साइट मालिकों के लिए तात्कालिक कदम, या एन्कोडेड वेरिएंट। फोरेंसिक समीक्षा के लिए निष्कर्षों को क्वारंटाइन करें।.
  5. उपयोगकर्ताओं और हाल के परिवर्तनों की समीक्षा करें
    हाल ही में बनाए गए या संशोधित खातों और लॉग में प्रोफ़ाइल एंडपॉइंट्स के लिए POST अनुरोधों की तलाश करें। किसी भी असामान्य गतिविधि के लिए आईपी और उपयोगकर्ता एजेंटों को नोट करें।.
  6. अल्पकालिक लॉगिंग और निगरानी में सुधार करें
    अस्थायी रूप से लॉग वर्बोसिटी (वेब सर्वर, एप्लिकेशन, WAF/एज) बढ़ाएं और प्रोफ़ाइल एंडपॉइंट्स के लिए बार-बार POST के लिए अलर्ट बनाएं।.
  7. हितधारकों के साथ संवाद करें
    यदि आप शोषण के सबूत पाते हैं तो अधिसूचना टेम्पलेट और घटना प्रतिक्रिया कदम तैयार करें। यदि लागू हो तो डेटा उल्लंघन अधिसूचना के लिए कानूनी और नियामक आवश्यकताओं का पालन करें।.

WAFs या रिवर्स प्रॉक्सी में लागू करने के लिए व्यावहारिक नियम नीचे दिए गए हैं ताकि आप अपडेट और स्कैन करते समय शोषण को कम कर सकें।.

  • कमजोर एंडपॉइंट पर POST को अस्वीकार करें या चुनौती दें
    शर्त: उन URL पर HTTP POST जो पैटर्न से मेल खाते हैं जैसे कि /.*प्रोफ़ाइल_सोशल_प्राप्त करें.*/ (या प्लगइन का प्रोफ़ाइल अपडेट पथ)। कार्रवाई: निम्न-विशेषाधिकार संदर्भों से अनुरोधों के लिए अस्वीकार करें या एक चुनौती (CAPTCHA) प्रस्तुत करें।.
  • स्क्रिप्ट-जैसे इनपुट को फ़िल्टर या ब्लॉक करें
    शर्त: POST शरीर जो पैटर्न जैसे कि 9. या विशेषताओं जैसे onload=, जावास्क्रिप्ट:, त्रुटि होने पर=, 11. साइट मालिकों के लिए तात्कालिक कदम. शामिल हैं। कार्रवाई: इनपुट को ब्लॉक या सैनिटाइज करें, या एक व्याख्यात्मक संदेश के साथ 403 लौटाएं।.
  • प्रोफ़ाइल अपडेट के लिए दर-सीमा निर्धारित करें
    स्थिति: एकल खाते या आईपी से अत्यधिक अपडेट। कार्रवाई: आगे के POST को थ्रॉटल या अस्थायी रूप से ब्लॉक करें।.
  • संदिग्ध अनुरोधों को चुनौती दें
    स्थिति: एन्कोडेड पेलोड या संदिग्ध वर्ण। कार्रवाई: मानव इरादे को सत्यापित करने के लिए एक इंटरैक्टिव चुनौती प्रस्तुत करें।.
  • अपेक्षित प्रारूपों के लिए व्हाइटलिस्ट लागू करें
    केवल उन मानों को स्वीकार करें जो सामाजिक हैंडल या URLs के लिए अपेक्षित पैटर्न के अनुरूप हैं; सर्वर-साइड पर मान्य करें।.

प्रबंधित WAF और सुरक्षा टीमें कैसे मदद कर सकती हैं

यदि आप एक प्रबंधित सुरक्षा प्रदाता या एक आंतरिक सुरक्षा टीम का उपयोग करते हैं, तो वे विक्रेता सुधार लागू करते समय जोखिम को कम करने के लिए तेजी से वर्चुअल पैच और निगरानी तैनात कर सकते हैं। सामान्य सेवाओं में पेलोड फ़िल्टरिंग, व्यवहारिक पहचान (रेट लिमिटिंग, विसंगति पहचान), और संग्रहीत कलाकृतियों के लिए फोरेंसिक स्कैनिंग शामिल हैं। सुनिश्चित करें कि आप जो भी तीसरे पक्ष की सहायता का उपयोग करते हैं वह प्रतिष्ठित है और अतिरिक्त जोखिम नहीं लाता है।.

संग्रहीत XSS कलाकृतियों के लिए सुरक्षित रूप से स्कैन कैसे करें

  • सुरक्षित, केवल-पढ़ने वाले प्रश्नों के साथ प्लगइन-विशिष्ट कुंजी और संदिग्ध उपस्ट्रिंग के लिए उपयोगकर्ता मेटा और प्लगइन तालिकाओं को क्वेरी करें।.
  • संदिग्ध सामग्री को ब्राउज़रों में प्रदर्शित न करें। निकाले गए मानों को सामान्य पाठ के रूप में देखें या HTML-कोडिंग व्यूअर का उपयोग करें।.
  • फोरेंसिक विश्लेषण के लिए संदिग्ध प्रविष्टियों को निर्यात करें, फिर उन्हें डेटाबेस से निष्क्रिय या हटा दें।.
  • जांच और अनुपालन के लिए मूल डेटा के सुरक्षित ऑफ़लाइन बैकअप रखें, लेकिन उन्हें उत्पादन पहुंच से अलग करें।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आप समझौता होने का संदेह करते हैं)

  1. सीमित करें: कमजोर प्लगइन को निष्क्रिय करें या प्रभावित कार्यक्षमता को सीमित करें; यदि आवश्यक हो तो रखरखाव मोड पर विचार करें।.
  2. हटा दें या निष्क्रिय करें डेटाबेस में संग्रहीत XSS प्रविष्टियाँ; जहां संभव हो, उन्हें स्वच्छ सामग्री से बदलें।.
  3. क्रेडेंशियल्स और कुंजी घुमाएँ: प्रशासकों और किसी भी संदिग्ध खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें; API कुंजी और टोकन को घुमाएँ।.
  4. 7. सक्रिय सत्रों को रद्द करें उच्च-विशेषाधिकार उपयोगकर्ताओं के लिए।.
  5. पूर्ण मैलवेयर स्कैन करें द्वितीयक पेलोड या बैकडोर की पहचान के लिए कई तकनीकों और मैनुअल समीक्षा का उपयोग करें।.
  6. फोरेंसिक समीक्षा: लॉग का उपयोग करके समयरेखा को पुनर्निर्माण करें ताकि दायरा और उत्पत्ति का निर्धारण किया जा सके।.
  7. सुरक्षा को मजबूत करें: WAF नियम लागू करें, भूमिका अनुमतियों को कड़ा करें, और सामग्री सुरक्षा नीति (CSP) को लागू करने या परीक्षण करने पर विचार करें।.
  8. दस्तावेज़ बनाएं और संवाद करें उठाए गए कार्यों और आवश्यकतानुसार आंतरिक/बाहरी रिपोर्टिंग दायित्वों का पालन करें।.
  9. पुनर्स्थापना से पहले सत्यापित करें: सुनिश्चित करें कि सफाई पूरी हो गई है और सामान्य संचालन में लौटने से पहले कोई स्थायी पहुंच नहीं बची है।.

दीर्घकालिक सख्ती

  • न्यूनतम विशेषाधिकार लागू करें — जहां संभव हो प्रोफ़ाइल संपादन क्षमताओं और पंजीकरण को सीमित करें।.
  • सर्वर-साइड सत्यापन और आउटपुट escaping — WordPress APIs का उपयोग करें जैसे esc_html(), esc_attr(), और wp_kses_post() उचित रूप से।.
  • सामग्री सुरक्षा नीति (CSP) — इनलाइन स्क्रिप्ट की अनुमति न दें और जहां संभव हो स्क्रिप्ट स्रोतों को प्रतिबंधित करें (पहले स्टेजिंग में परीक्षण करें)।.
  • HTTP सुरक्षा हेडर — X-Content-Type-Options, X-Frame-Options, Referrer-Policy और HSTS सक्षम करें।.
  • नियमित प्लगइन अपडेट और स्टेजिंग परीक्षण — एक अनुशासित अपडेट ताल को बनाए रखें।.
  • निरंतर स्कैनिंग और निगरानी — सामान्य कमजोरियों के वर्गों और असामान्य व्यवहार के लिए स्वचालित जांच।.
  • बैकअप और पुनर्प्राप्ति — स्वचालित ऑफसाइट बैकअप और मान्य पुनर्स्थापना प्रक्रियाएँ।.
  • प्रशासनिक खातों के लिए दो-कारक प्रमाणीकरण और न्यूनतम प्रशासनिक पहुंच पथ।.

साइट प्रशासकों के लिए व्यावहारिक कॉन्फ़िगरेशन चेकलिस्ट

  • क्या LearnPress आपके साइट पर स्थापित है? यदि हाँ, तो संस्करण की जांच करें।.
  • यदि LearnPress ≤ 4.3.1 है, तो अभी 4.3.2 में अपडेट करें।.
  • यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो सब्सक्राइबर प्रोफ़ाइल संपादनों को प्रतिबंधित करें या यदि संभव हो तो प्रोफ़ाइल/सोशल संपादन को अक्षम करें।.
  • प्रोफ़ाइल एंडपॉइंट्स पर स्क्रिप्ट-जैसे इनपुट को ब्लॉक करने के लिए WAF/एज नियम लागू करें।.
  • संदिग्ध पेलोड के लिए उपयोगकर्ता मेटा और प्लगइन तालिकाओं को स्कैन करें; निष्कर्षों को हटा दें या निष्क्रिय करें।.
  • व्यवस्थापक क्रेडेंशियल्स को घुमाएँ और अनधिकृत उपयोगकर्ताओं/क्षमताओं की समीक्षा करें।.
  • लॉगिंग में सुधार करें और अप्रत्याशित स्रोतों से प्रोफ़ाइल एंडपॉइंट्स पर POST अनुरोधों के लिए देखें।.
  • उत्पादन रोलआउट से पहले एक स्टेजिंग वातावरण में CSP और अन्य सुरक्षा हेडर का परीक्षण करें।.
  • सुनिश्चित करें कि बैकअप उपलब्ध हैं और सत्यापित हैं।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: मेरी साइट पर कोई सब्सक्राइबर नहीं है। क्या मैं सुरक्षित हूँ?

उत्तर: यदि कोई निम्न-विशिष्टता वाले खाते प्रोफ़ाइल डेटा प्रस्तुत नहीं कर सकते हैं, तो तत्काल जोखिम कम हो जाता है। हालाँकि, सुनिश्चित करें कि कोई विरासती या अनाथ खाते नहीं हैं और पंजीकरण सेटिंग्स की पुष्टि करें।.

प्रश्न: मैंने LearnPress को अपडेट किया — क्या मुझे अभी भी कुछ और करना है?

उत्तर: अपडेट करना मुख्य सुधार है। अपडेट करने के बाद, संग्रहीत पेलोड के लिए स्कैन करें, दुर्भावनापूर्ण प्रविष्टियों को हटा दें, और आप द्वारा लागू अस्थायी सुरक्षा की समीक्षा करें।.

प्रश्न: क्या मुझे अपडेट करने तक प्लगइन को अक्षम कर देना चाहिए?

उत्तर: यदि सक्रिय शोषण का संदेह है और आप मुआवजे के नियंत्रण लागू नहीं कर सकते हैं, तो प्लगइन या प्रभावित सुविधा को अक्षम करना सबसे सुरक्षित तात्कालिक कदम हो सकता है। इसे शिक्षार्थियों पर संचालन के प्रभाव के खिलाफ संतुलित करें।.

प्रश्न: क्या WAF नियम वैध प्रोफ़ाइल अपडेट को तोड़ देंगे?

उत्तर: सही ढंग से ट्यून किए गए नियम झूठे सकारात्मक से बचने चाहिए। जहां उपयोगकर्ता अनुभव महत्वपूर्ण है, वहां सीधे अस्वीकृति के बजाय चुनौती तंत्र (CAPTCHA) या स्वच्छता को प्राथमिकता दें।.

समयरेखा और प्रकटीकरण

  • कमजोरियों की रिपोर्ट: 16 दिसंबर, 2025
  • विक्रेता सुधार जारी किया: LearnPress 4.3.2
  • CVE असाइन किया गया: CVE‑2025‑14387
  • पैच प्राथमिकता: मध्यम (CVSS 6.5); वास्तविक दुनिया का प्रभाव रेंडरिंग संदर्भ और भूमिका अनुमतियों पर निर्भर करता है।.

समापन विचार — गहराई में रक्षा

कोई एकल चांदी की गोली नहीं है: प्लगइन को अपडेट करना अंतर्निहित दोष को हटा देता है, लेकिन परतदार नियंत्रण (वर्चुअल पैचिंग, मान्यता, CSP, न्यूनतम विशेषाधिकार और निगरानी) जोखिम और पुनर्प्राप्ति समय को महत्वपूर्ण रूप से कम करते हैं। प्रोफ़ाइल फ़ील्ड को संवेदनशील इनपुट सतह के रूप में मानें: उन्हें संपादित करने वालों की संख्या को कम करें, सावधानी से मान्य करें, और जो संग्रहीत है उसका ऑडिट करें।.

अतिरिक्त संसाधन और अगले कदम

  • LearnPress को तुरंत 4.3.2 (या बाद में) अपडेट करें - यह निश्चित समाधान है।.
  • यदि आप एक प्रबंधित WAF या सुरक्षा प्रदाता का उपयोग करते हैं, तो प्रतिस्थापन नियमों और स्कैनिंग की त्वरित तैनाती का अनुरोध करें।.
  • संग्रहीत स्क्रिप्ट कलाकृतियों के लिए उपयोगकर्ता खातों, उपयोगकर्ता मेटा और प्लगइन तालिकाओं का ऑडिट करें।.
  • भविष्य के क्लाइंट-साइड जोखिमों को कम करने के लिए स्टेजिंग में एक सामग्री सुरक्षा नीति का परीक्षण करें।.
  • भूमिका क्षमताओं और पंजीकरण सेटिंग्स की समीक्षा करें और उन्हें मजबूत करें।.

लेखक नोट: यह सलाह एक हांगकांग सुरक्षा प्रैक्टिशनर के संचालन मानसिकता के साथ लिखी गई है - संक्षिप्त, व्यावहारिक, और क्षेत्र में उद्यम और शिक्षा प्लेटफार्मों के लिए सामान्य जोखिम सहिष्णुता की ओर उन्मुख। पैचिंग को प्राथमिकता दें और, जब आप कार्य करें, तो जोखिम को कम करने के लिए परतदार प्रतिस्थापन का उपयोग करें।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

सामुदायिक सलाहकार पोस्ट समाप्ति पहुंच दोष (CVE202513741)

अगला लेख —

सामुदायिक चेतावनी WordPress लॉगिन लॉकडाउन बायपास (CVE202511707)

आपको यह भी पसंद आ सकता है