Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग वेबसाइटों को मनमाने अपलोड से सुरक्षित करें (CVE202513094)

WordPress WP3D मॉडल इम्पोर्ट व्यूअर प्लगइन में मनमाना फ़ाइल अपलोड
0
शेयर
0
0
0
0






CVE-2025-13094 — Arbitrary File Upload in WP3D Model Import Viewer (<= 1.0.7): Impact, Detection and Immediate Mitigation


प्लगइन का नाम WP3D मॉडल आयात व्यूअर
कमजोरियों का प्रकार मनमाना फ़ाइल अपलोड
CVE संख्या CVE-2025-13094
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2025-12-16
स्रोत URL CVE-2025-13094

CVE-2025-13094 — WP3D मॉडल आयात व्यूअर में मनमाना फ़ाइल अपलोड (<= 1.0.7)

लेखक: हांगकांग सुरक्षा विशेषज्ञ  |  दिनांक: 2025-12-16

हांगकांग में आधारित एक सुरक्षा पेशेवर के रूप में, मैं संक्षिप्त, क्रियाशील मार्गदर्शन पर जोर देता हूं। CVE-2025-13094 एक प्रमाणित मनमाना फ़ाइल अपलोड भेद्यता है जो WP3D मॉडल आयात व्यूअर (संस्करण 1.0.7 तक और शामिल) को प्रभावित करती है। इसे एक अनुमत उपयोगकर्ता द्वारा आसानी से शोषित किया जा सकता है और एक बार शोषित होने पर इसका प्रभाव बहुत अधिक होता है। यह सलाह जोखिम, पहचान के चरण, तात्कालिक शमन और पुनर्प्राप्ति क्रियाएं समझाती है जो आप तुरंत ले सकते हैं।.

नोट: प्रकाशन के समय, सभी प्रभावित संस्करणों के लिए एक आधिकारिक विक्रेता पैच उपलब्ध नहीं हो सकता है। इसे एक सक्रिय जोखिम के रूप में मानें और तुरंत कार्रवाई करें।.

कार्यकारी सारांश (TL;DR)

  • एक प्रमाणित उपयोगकर्ता जिसके पास लेखक स्तर (या समान) विशेषाधिकार हैं, प्लगइन के माध्यम से मनमाने फ़ाइलें अपलोड कर सकता है।.
  • अपलोड की गई फ़ाइलें वेब-एक्सेसिबल स्थानों में रखी जा सकती हैं और यदि सर्वर-व्याख्यायित फ़ाइलें (जैसे PHP) स्वीकार की जाती हैं तो यह दूरस्थ कोड निष्पादन (RCE) का कारण बन सकती हैं।.
  • असाइन किया गया पहचानकर्ता: CVE-2025-13094। यदि इसे उजागर साइटों पर शोषित किया जाता है तो प्रभाव उच्च है।.
  • तात्कालिक क्रियाएं: जहां संभव हो प्लगइन को अक्षम करें, गैर-प्रशासक उपयोगकर्ताओं के लिए अपलोड क्षमता को सीमित करें, WAF/वर्चुअल-पैचिंग नियम लागू करें, निष्पादन को रोकने के लिए अपलोड को मजबूत करें, और समझौते के संकेतों के लिए स्कैन करें।.

भेद्यता विवरण — क्या हुआ और यह क्यों महत्वपूर्ण है

प्लगइन एक अपलोड हैंडलर को उजागर करता है जो मॉडल/संपत्तियों के लिए फ़ाइल प्रकार को उचित रूप से मान्य करने, फ़ाइल नामों को साफ करने, सख्त सामग्री-प्रकार प्रतिबंधों को लागू करने और एक बुनियादी लेखक लॉगिन से परे पर्याप्त क्षमता जांच करने में विफल रहता है। यह एक प्रमाणित लेखक को उन फ़ाइलों को अपलोड करने की अनुमति देता है जिन्हें अनुमति नहीं दी जानी चाहिए।.

मनमाने अपलोड के परिणामों में शामिल हैं:

  • अपलोड में वेब शेल (PHP बैकडोर) का स्थान और दूरस्थ निष्पादन।.
  • फ़ाइलें जो सर्वर-साइड प्रोसेसिंग को ट्रिगर करती हैं जो RCE की ओर ले जाती हैं।.
  • हमलावर द्वारा प्रदान किए गए JavaScript या SVG पेलोड जिनमें एम्बेडेड स्क्रिप्ट होते हैं।.
  • स्टेजिंग फ़ाइलें या निष्पादन योग्य फ़ाइलें जो आगे की पार्श्व गति के लिए उपयोग की जाती हैं।.

चूंकि अपलोड अक्सर सीधे परोसे जाते हैं, अप्रमाणित अपलोड स्थायी समझौते के लिए एक सीधा मार्ग प्रदान करते हैं।.

किसे जोखिम है?

  • साइटें जो WP3D मॉडल आयात व्यूअर प्लगइन संस्करण 1.0.7 या उससे पहले चला रही हैं।.
  • साइटें जो लेखकों या समकक्ष भूमिकाओं को फ़ाइलें अपलोड करने की अनुमति देती हैं।.
  • बिना मुआवजे के शमन के उपायों जैसे अपलोड निष्पादन रोकथाम, सख्त भूमिका नीतियों, या WAF सुरक्षा के साथ साइटें।.

भले ही आप अपने लेखकों पर भरोसा करते हों, शमन लागू होने तक जोखिम मानें।.

वास्तविक दुनिया के हमले के परिदृश्य

  1. समझौता किए गए योगदानकर्ता का अनुकरण: एक हमलावर एक लेखक खाता प्राप्त करता है/बनाता है और अपलोड में एक PHP वेबशेल अपलोड करता है, जिससे कमांड निष्पादन और स्थिरता सक्षम होती है।.
  2. तृतीय-पक्ष सहयोगी का दुरुपयोग: एक फ्रीलांसर या सामग्री संपादक जानबूझकर एक मॉडल के रूप में छिपी हुई एक दुर्भावनापूर्ण फ़ाइल अपलोड करता है।.
  3. श्रृंखलाबद्ध शोषण: एक अपलोड की गई फ़ाइल एक कमजोर छवि/मॉडल प्रसंस्करण रूटीन को सक्रिय करती है, जिससे सर्वर-साइड कोड निष्पादन होता है।.

समझौते के संकेत (IoCs) — अब क्या देखना है

इन उच्च-प्राथमिकता संकेतों के लिए लॉग और फ़ाइलों की खोज करें:

  • नए या संशोधित .php, .phtml, .php5, .phar, .pl, .cgi के तहत फ़ाइलें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।.
  • डबल एक्सटेंशन वाली फ़ाइलें (जैसे।. छवि.jpg.php, model.gltf.phtml).
  • लेखक खातों से प्लगइन-विशिष्ट एंडपॉइंट्स पर POST अनुरोध, विशेष रूप से अप्रत्याशित फ़ाइल नामों के साथ मल्टीपार्ट अपलोड।.
  • एक्सेस लॉग जो अपलोड पथों पर GET/POST दिखाते हैं जो निष्पादन योग्य सामग्री लौटाते हैं।.
  • अप्रत्याशित क्रोन प्रविष्टियाँ, डेटाबेस परिवर्तन या अपलोड टाइमस्टैम्प से संबंधित उपयोगकर्ता गतिविधि।.

उपयोगी सर्वर कमांड (अपने वातावरण के अनुसार समायोजित करें):

# अपलोड में PHP फ़ाइलें खोजें

तात्कालिक शमन चेकलिस्ट (पहले 1–2 घंटे)

  1. प्लगइन को निष्क्रिय करें
    wp-admin में: Plugins → WP3D Model Import Viewer को निष्क्रिय करें।.
    WP-CLI: wp प्लगइन निष्क्रिय करें wp3d-model-import-block
    निष्क्रिय करना तुरंत कमजोर हैंडलर को हटा देता है।.
  2. लेखक अपलोड क्षमता को हटा दें या सीमित करें (अल्पकालिक)
    यदि आप प्लगइन को निष्क्रिय नहीं कर सकते हैं, तो छोटे MU-प्लगइन को लागू करके लेखकों से अपलोड क्षमता अस्थायी रूप से हटा दें या जोड़ें functions.php:

    <?php;

    जब एक विश्वसनीय पैच लागू किया जाए और अपलोड मान्य किए जाएं, तो इसे पूर्ववत करें।.

  3. WAF पर खतरनाक अपलोड को ब्लॉक करें (वर्चुअल पैचिंग)
    यदि आप WAF या एप्लिकेशन-लेयर फ़ायरवॉल संचालित करते हैं, तो दुर्भावनापूर्ण अपलोड पैटर्न को ब्लॉक करने के लिए नियम लागू करें:

    • मल्टीपार्ट/फॉर्म-डेटा को ब्लॉक करें जहां फ़ाइल नाम में निष्पादन योग्य एक्सटेंशन हैं: .php, .phtml, .php5, .phar, .pl, .cgi.
    • प्लगइन के अपलोड एंडपॉइंट पर POST को ब्लॉक करें जब तक कि यह विश्वसनीय व्यवस्थापक IPs से न हो।.
    • अपलोड को ब्लॉक करें जहां घोषित MIME-प्रकार फ़ाइल नाम के एक्सटेंशन से मेल नहीं खाता (जैसे. छवि/jpeg हेडर के साथ .php फ़ाइल नाम)।.
    • प्लगइन एंडपॉइंट पर अपलोड करने वाले प्रमाणित उपयोगकर्ताओं की दर-सीमा निर्धारित करें।.
  4. कोड निष्पादन को रोकने के लिए अपलोड निर्देशिका को मजबूत करें
    Apache के लिए, बनाएँ /wp-content/uploads/.htaccess:

    # अपलोड में PHP के निष्पादन को अस्वीकार करें

    Nginx के लिए, एक स्थान ब्लॉक जोड़ें (और कॉन्फ़िगरेशन को पुनः लोड करें):

    स्थान ~* /wp-content/uploads/.*\.(php|phtml|phar|pl|cgi)$ {

    सुनिश्चित करें कि अपलोड केवल स्थिर संपत्तियों के रूप में सेवा दी जाती हैं।.

  5. वेबशेल और बैकडोर के लिए स्कैन करें
    फ़ाइल सिस्टम स्कैन करें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं। और किसी भी हालिया PHP फ़ाइलों का निरीक्षण करें। संदिग्ध कोड पैटर्न जैसे कि खोजें eval(, base64_decode(, सिस्टम(, exec(, preg_replace के साथ /e संशोधक, आदि।.
  6. क्रेडेंशियल्स और कुंजी घुमाएँ
    व्यवस्थापक, लेखक और अन्य विशेषाधिकार प्राप्त खातों के लिए पासवर्ड रीसेट करें। उन API कुंजियों, SSH कुंजियों और टोकनों को घुमाएं जो उजागर हो सकते हैं। आवश्यकतानुसार उच्च विशेषाधिकार वाले खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें।.
  7. लॉग को संरक्षित करें और हितधारकों को सूचित करें
    फोरेंसिक विश्लेषण के लिए सर्वर और अनुप्रयोग लॉग को संरक्षित करें (घुमाएं नहीं)। यदि समझौता होने का संदेह है तो अपने होस्ट या घटना प्रतिक्रिया संपर्कों को सूचित करें।.

WAF / वर्चुअल पैचिंग - ठोस नियम उदाहरण

उदाहरण नियम (सामान्य रूप से व्यक्त; अपने WAF भाषा में अनुवाद करें):

  1. निष्पादन योग्य सर्वर एक्सटेंशन वाले फ़ाइलों को अवरुद्ध करें:
    • स्थिति: multipart/form-data जिसमें फ़ाइल नाम /.\(php|php[0-9]?|phtml|phar|pl|cgi)$/i से मेल खाता है
    • क्रिया: अवरुद्ध करें (HTTP 403) और लॉग करें
  2. असंगत MIME प्रकारों को अवरुद्ध करें:
    • स्थिति: घोषित MIME हेडर छवि/* या मॉडल/* लेकिन फ़ाइल नाम समाप्त होता है .php या .phtml
    • क्रिया: अवरुद्ध करें और चेतावनी दें
  3. भूमिका/संदर्भ के आधार पर अपलोड अंत बिंदुओं को प्रतिबंधित करें:
    • स्थिति: जब प्रमाणित उपयोगकर्ता व्यवस्थापक नहीं है या अनुरोध का मूल विश्वसनीय आईपी सूची में नहीं है, तो प्लगइन अपलोड अंत बिंदु पर POST करें
    • क्रिया: ब्लॉक
  4. प्रमाणित उपयोगकर्ताओं को प्लगइन अंत बिंदुओं पर मल्टीपार्ट पोस्ट करने के लिए दर-सीमा निर्धारित करें:
    • स्थिति: समान उपयोगकर्ता/IP से Y सेकंड में > X अपलोड
    • क्रिया: थ्रॉटल/चुनौती/ब्लॉक
  5. संदिग्ध अपलोड की गई फ़ाइलों तक पहुँच रोकें:
    • स्थिति: GET/POST करें /wp-content/uploads/* जहाँ फ़ाइल नाम संदिग्ध पैटर्न या निष्पादन योग्य है
    • क्रिया: HTTP 403 सर्व करें या सुरक्षित पृष्ठ पर पुनर्निर्देशित करें

डेवलपर मार्गदर्शन - सुरक्षित अपलोड हैंडलिंग चेकलिस्ट

  • सख्त क्षमता जांच का उपयोग करें: उच्च विशेषाधिकार की आवश्यकता है जैसे प्रबंधित_विकल्प उन संचालन के लिए जो निष्पादन योग्य फ़ाइलें रख सकते हैं।.
  • सर्वर-साइड मान्यता लागू करें: एक्सटेंशन, MIME-प्रकार को मान्य करें, और जहाँ संभव हो फ़ाइल मैजिक बाइट्स की जांच करें।.
  • फ़ाइल नामों को साफ़ और सामान्य करें: खतरनाक वर्णों को हटा दें और यादृच्छिक नामों पर विचार करें।.
  • अपलोड को वेब रूट के बाहर स्टोर करें या सुनिश्चित करें कि निर्देशिकाएँ गैर-निष्पादन योग्य हैं।.
  • एक्सटेंशन की एक स्पष्ट अनुमति सूची बनाए रखें (केवल चित्र और अनुमोदित मॉडल प्रकार)।.
  • हर बार REST/AJAX अंत बिंदुओं के लिए नॉनसेस और क्षमता जांच का उपयोग करें।.
  • अपलोड घटनाओं को लॉग करें और असामान्य पैटर्न और स्पाइक्स की निगरानी करें।.

पहचान प्लेबुक - लॉग, समयरेखा और फोरेंसिक्स

  1. कलाकृतियाँ इकट्ठा करें: वेब सर्वर एक्सेस/त्रुटि लॉग, वर्डप्रेस डिबग लॉग, प्लगइन लॉग और यदि संभव हो तो एक केवल-पढ़ने योग्य फ़ाइल सिस्टम स्नैपशॉट की कॉपी करें।.
  2. संदिग्ध अपलोड की पहचान करें: अपलोड समय को उपयोगकर्ता क्रियाओं के साथ सहसंबंधित करें और निषिद्ध एक्सटेंशन या गैर-छवि/मॉडल सामग्री की तलाश करें।.
  3. वेबशेल के लिए जांचें: सामान्य वेबशेल कार्यों और पैटर्न की खोज करें, स्वचालित स्कैनर और मैनुअल समीक्षा का उपयोग करें।.
  4. उपयोगकर्ता गतिविधि की समीक्षा करें: अपलोड से संबंधित खाता निर्माण, पासवर्ड रीसेट और आईपी/भू-स्थान विसंगतियों की जांच करें।.
  5. रोकें और सुधारें: संदिग्ध फ़ाइलों को संगरोध में रखें, संक्रमित घटकों को ज्ञात-स्वच्छ प्रतियों से बदलें, और यदि आवश्यक हो तो बैकअप से पुनर्निर्माण करें।.
  6. घटना के बाद: समयरेखा का दस्तावेजीकरण करें और पुनरावृत्ति को रोकने के लिए नीतियों को मजबूत करें।.

सुधार और दीर्घकालिक कदम

  1. जब उपलब्ध हो, तो आधिकारिक विक्रेता पैच लागू करें और वातावरण में अपडेट को मान्य करें।.
  2. यदि प्लगइन अनिवार्य नहीं है और समय पर पैच नहीं मिल रहा है, तो इसे हटा दें और एक वैकल्पिक दृष्टिकोण पर माइग्रेट करें।.
  3. न्यूनतम विशेषाधिकार लागू करें: केवल विश्वसनीय भूमिकाओं के लिए अपलोड क्षमता को सीमित करें।.
  4. निरंतर निगरानी, फ़ाइल अखंडता जांच और संदिग्ध अपलोड के लिए अलर्टिंग सक्षम करें।.
  5. बैकअप बनाए रखें और परीक्षण करें: सुनिश्चित करें कि आप आवश्यकता पड़ने पर एक स्वच्छ स्थिति में पुनर्स्थापित कर सकते हैं।.

व्यावहारिक पुनर्प्राप्ति चेकलिस्ट (यदि आपको समझौता होने का संदेह है)

  • साइट को अलग करें (रखरखाव/स्टेजिंग मोड)।.
  • फोरेंसिक्स के लिए एक ताजा बैकअप (फ़ाइलें + DB) बनाएं।.
  • वर्डप्रेस कोर, थीम और प्लगइनों को विश्वसनीय स्रोतों से स्वच्छ प्रतियों के साथ बदलें।.
  • अपलोड और थीम/प्लगइन निर्देशिकाओं में अज्ञात फ़ाइलों को बैकअप लेने के बाद हटा दें।.
  • सभी पासवर्ड (व्यवस्थापक, FTP, होस्टिंग, DB) रीसेट करें और API टोकन को घुमाएं।.
  • फिर से स्कैन करें जब तक बैकडोर का कोई सबूत न बचे; संदेह होने पर पूर्ण पुनर्निर्माण पर विचार करें।.

तुरंत सक्षम करने के लिए निगरानी और पहचान नियम

  • किसी भी नए अपलोड पर अलर्ट करें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं। स्क्रिप्ट एक्सटेंशन के साथ (जैसे. .php).
  • उन एंडपॉइंट्स पर POSTs पर अलर्ट करें जिनमें wp3d जहां अभिनेता व्यवस्थापक नहीं है।.
  • अलर्ट करें जब लेखक खाते अनुमोदित प्रारूपों के बाहर फ़ाइल प्रकार अपलोड करें।.
  • एक ही IP या खाते से बढ़ी हुई मल्टीपार्ट अपलोड आवृत्ति पर अलर्ट करें।.

क्यों वर्चुअल पैचिंग और स्कैनिंग अभी महत्वपूर्ण हैं

कमजोरियों को हर साइट पर तुरंत पैच नहीं किया जाता है। वर्चुअल पैचिंग (WAF नियम) और स्वचालित स्कैनिंग महत्वपूर्ण समय खरीदते हैं: वे शोषण प्रयासों को रोक सकते हैं और समझौते का पता लगा सकते हैं जबकि आप पैच, साफ या पुनर्निर्माण कर रहे हैं। एक विक्रेता द्वारा प्रदान किए गए फिक्स के लागू होने तक अच्छी तरह से तैयार किए गए WAF नियम और स्कैनिंग प्रक्रियाओं को मुआवजे के नियंत्रण के रूप में लागू करें।.

त्वरित संदर्भ: कमांड और स्निप्पेट

  • प्लगइन निष्क्रिय करें (WP-CLI): wp प्लगइन निष्क्रिय करें wp3d-model-import-block
  • अपलोड में संदिग्ध फ़ाइलों के लिए खोजें: 
    find wp-content/uploads -type f \( -iname "*.php" -o -iname "*.phtml" -o -iname "*.php5" -o -iname "*.phar" \) -ls
  • अपलोड में निष्पादन को रोकने के लिए Apache .htaccess स्निप्पेट: ऊपर “अपलोड को मजबूत करें” अनुभाग देखें।.
  • अपलोड में PHP निष्पादन को अस्वीकार करने के लिए Nginx स्निप्पेट: ऊपर “अपलोड को मजबूत करें” अनुभाग देखें।.

अंतिम सिफारिशें (प्राथमिकता के अनुसार)

  1. यदि WP3D मॉडल आयात दर्शक स्थापित और सक्रिय है — इसे अभी निष्क्रिय करें. यदि व्यवसाय की आवश्यकताएँ इसे रोकती हैं, तो तुरंत उपाय लागू करें।.
  2. ऐसे WAF/वर्चुअल पैचिंग नियम लागू करें जो निष्पादन योग्य एक्सटेंशन और असंगत MIME/अपलोड पैटर्न को ब्लॉक करें।.
  3. वेब सर्वर स्तर पर स्क्रिप्ट निष्पादन को रोकने के लिए अपलोड निर्देशिका को मजबूत करें।.
  4. एक पूर्ण मैलवेयर स्कैन चलाएँ और वेबशेल्स और असामान्य फ़ाइलों के लिए अपलोड की जांच करें।.
  5. क्रेडेंशियल्स को घुमाएँ और भूमिकाओं की समीक्षा करें; गैर-प्रशासक उपयोगकर्ताओं से अपलोड क्षमता हटा दें जब तक कि यह आवश्यक न हो।.
  6. किसी भी दुरुपयोग के संकेतों के लिए एक्सेस लॉग, WAF अलर्ट और फ़ाइल अखंडता की निगरानी करें।.
  7. जैसे ही विक्रेता का आधिकारिक पैच उपलब्ध हो, उसे लागू करें और केवल गहन सत्यापन के बाद कार्यक्षमता को फिर से सक्षम करें।.

समापन विचार

प्रमाणित मनमाना फ़ाइल अपलोड एक सामान्य और खतरनाक प्रकार की भेद्यता है। बहु-लेखक वातावरण—एजेंसियों, समाचार कक्षों और सहयोगी ब्लॉगों में सामान्य—हमलावर विशेष रूप से उन पथों को लक्षित करते हैं जो लेखकों को फ़ाइलें रखने की अनुमति देते हैं। तत्काल, व्यावहारिक कार्रवाई (प्लगइन निष्क्रिय करना, अपलोड प्रतिबंध, WAF नियम और अपलोड को मजबूत करना) जोखिम को काफी कम कर देगी जबकि आप आधिकारिक पैच की प्रतीक्षा और परीक्षण कर रहे हैं।.

रोकथाम या फोरेंसिक विश्लेषण में मदद के लिए, एक योग्य घटना प्रतिक्रियाकर्ता को शामिल करें जो वर्डप्रेस वातावरण में अनुभवी हो।.

— हांगकांग सुरक्षा विशेषज्ञ

संदर्भ और आगे की पढ़ाई

  • CVE-2025-13094 — आधिकारिक CVE रिकॉर्ड
  • वर्डप्रेस हार्डनिंग गाइड — अपलोड निर्देशिका के सर्वोत्तम अभ्यास
  • सुरक्षित फ़ाइल हैंडलिंग पर डेवलपर संसाधन (wp_handle_upload(), wp_check_filetype())

यदि किसी भी चरण के बारे में अनिश्चित हैं, तो हाथों-पर प्रतिक्रिया और पुनर्प्राप्ति के लिए एक योग्य वर्डप्रेस सुरक्षा पेशेवर को शामिल करें।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग वेबसाइटों को डेटा लीक से बचाएं (CVE202511693)

अगला लेख —

एचके साइबरसिक्योरिटी सलाहकार निर्देशिका किट SQL इंजेक्शन (CVE202513089)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

समुदाय अलर्ट CSRF जोखिम वर्डप्रेस सिंक (CVE202511976)

  • अक्टूबर 28, 2025
WordPress FuseWP – WordPress उपयोगकर्ता ईमेल सूची और मार्केटिंग स्वचालन (Mailchimp, Constant Contact, ActiveCampaign आदि) प्लगइन <= 1.1.23.0 - क्रॉस-साइट अनुरोध धोखाधड़ी से सिंक नियम निर्माण की संवेदनशीलता
Wवर्डप्रेस भेद्यता डेटाबेस

एचके सुरक्षा अलर्ट WPBakery क्रॉस साइट स्क्रिप्टिंग(CVE202511161)

  • अक्टूबर 15, 2025
वर्डप्रेस WPBakery पेज बिल्डर प्लगइन <= 8.6.1 - vc_custom_heading शॉर्टकोड के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग कमजोरियों