यह क्यों महत्वपूर्ण है

Job boards store personally identifiable information (PII): names, emails, CVs/resumes, employer history, and uploaded documents. An IDOR that allows one candidate to access others’ records risks privacy breaches and regulatory exposure (GDPR, CCPA, and Hong Kong’s PDPO), as well as reputational damage for employers and recruitment sites.

Although the technical severity is rated “low” (CVSS 4.3), business impact can be significant when contact details and CVs are exposed. Treat this as a priority for sites handling applicant data.

IDOR (असुरक्षित डायरेक्ट ऑब्जेक्ट रेफरेंस) क्या है?

एक IDOR एक अनुपस्थित या अपर्याप्त सर्वर-साइड पहुँच नियंत्रण है जहाँ वस्तु पहचानकर्ता (IDs, slugs, फ़ाइल नाम) क्लाइंट से स्वीकार किए जाते हैं बिना यह सत्यापित किए कि अनुरोधकर्ता संदर्भित संसाधन तक पहुँचने का हकदार है।.

सामान्य संकेतक:

• जैसे एंडपॉइंट्स /candidate.php?id=123 या /wp-json/wp-jobhunt/v1/candidate/123 केवल प्रदान किए गए ID के आधार पर डेटा लौटाते हैं।.
• An authenticated user changes an ID and receives another user’s data.
• कोई सर्वर-साइड जांच वर्तमान उपयोगकर्ता की तुलना संसाधन के मालिक से नहीं करती या उपयुक्त क्षमताओं की पुष्टि नहीं करती।.

IDOR आमतौर पर REST एंडपॉइंट्स, AJAX हैंडलर्स, फ़ाइल डाउनलोड लिंक, और प्रत्यक्ष अटैचमेंट URLs में प्रकट होते हैं।.

WP JobHunt समस्या क्या है (उच्च स्तर)

• प्रमाणित उम्मीदवार खाते उन संसाधनों को कॉल कर सकते हैं जो मनमाने उम्मीदवार IDs के लिए उम्मीदवार विवरण या अटैचमेंट लौटाते हैं।.
• प्लगइन उम्मीदवार संसाधनों के लिए स्वामित्व जांच को लागू करने में विफल रहता है और आने वाले वस्तु IDs पर भरोसा करता है।.
• एक उम्मीदवार खाते वाला हमलावर अन्य उम्मीदवारों के रिकॉर्ड को देख सकता है — और कुछ मामलों में संशोधित या डाउनलोड कर सकता है।.

इस भेद्यता को CVE-2025-7733 के रूप में ट्रैक किया गया है और इसे 2025-12-23 को प्रकट किया गया था।.

सामान्य शोषण परिदृश्य

1. अनुक्रमण और गोपनीयता रिसाव: An attacker registers as a candidate and iterates candidate IDs (1,2,3…) or manipulates GUIDs to harvest names, emails, phone numbers, and resumes.
2. लक्षित उत्पीड़न या डेटा चोरी: Locating a specific applicant’s record to download or remove files (if write/delete operations are exposed).
3. श्रृंखलाबद्ध वृद्धि: IDOR अन्य तार्किक दोषों या कमजोर भूमिका कॉन्फ़िगरेशन के साथ मिलकर विशेषाधिकार वृद्धि का कारण बन सकता है।.
4. अनुपालन प्रभाव: डेटा का खुलासा PDPO, GDPR, या अन्य कानूनों के तहत उल्लंघन सूचना दायित्वों को ट्रिगर कर सकता है।.

यह कैसे पता करें कि आपकी साइट प्रभावित है

इन परिचालन जांचों से शुरू करें:

• प्लगइन संस्करण सूची: यदि WP JobHunt स्थापित है, तो प्लगइन संस्करण की पुष्टि करें। संस्करण ≤ 7.7 को कमजोर बताया गया है।.
• संदिग्ध पैटर्न के लिए लॉग खोजें: उन एंडपॉइंट्स के लिए अनुरोधों की तलाश करें जो उम्मीदवार डेटा लौटाते हैं, जैसे कि /wp-json/wp-jobhunt/v1/candidate/ या admin-ajax.php कॉल्स जिनमें candidate_id, id, uid, user_id हैं।.
• पैरामीटर छेड़छाड़: एक ही IP या उपयोगकर्ता एजेंट से बार-बार अनुरोध जहां केवल ID बदलती है (id=123 → id=124) अनुक्रमण का संकेत देती है।.
• अपलोड और एक्सेस लॉग: उन पूर्वानुमानित फ़ाइल पथों (जैसे, uploads/jobhunt/candidates/123.pdf) के लिए पहुंच की जांच करें जो निजी होनी चाहिए।.
• भूमिका मैपिंग: निर्धारित करें कि उम्मीदवार खाते WP उपयोगकर्ता रिकॉर्ड (कस्टम भूमिका, पोस्ट_लेखक, या कस्टम तालिका) से कैसे मैप होते हैं।.
• डेटाबेस ऑडिट: DB में उम्मीदवार IDs को एक्सेस लॉग और उन अनुरोधों को बनाने वाले प्रमाणित उपयोगकर्ताओं के साथ सहसंबंधित करें।.

यदि आप अनधिकृत पहुंच का अवलोकन करते हैं, तो इसे एक घटना के रूप में मानें और नीचे दिए गए प्रतिक्रिया चेकलिस्ट का पालन करें।.

तत्काल शमन जो आप अभी लागू कर सकते हैं (एक विक्रेता पैच से पहले)

1. सार्वजनिक उम्मीदवार एंडपॉइंट्स को निष्क्रिय करें: यदि सार्वजनिक उम्मीदवार पुनर्प्राप्ति की आवश्यकता नहीं है, तो अस्थायी रूप से इन एंडपॉइंट्स को अक्षम या प्रतिबंधित करें।.
2. उम्मीदवार डाउनलोड को प्रतिबंधित करें: उम्मीदवार फ़ाइलों तक सीधी पहुँच को अवरुद्ध करने के लिए सर्वर-स्तरीय नियमों का उपयोग करें जब तक अनुरोध अधिकृत न हों।.
3. उम्मीदवार भूमिका क्षमताओं को मजबूत करें: यदि आवश्यक न हो तो उम्मीदवार खातों से अपलोड या संपादन क्षमताएँ हटा दें।.
4. Require authentication & nonces: सुनिश्चित करें कि AJAX और REST एंडपॉइंट्स लॉगिन और मान्य वर्डप्रेस नॉनसेस की आवश्यकता करते हैं।.
5. गणना का पता लगाएँ और अवरुद्ध करें: वस्तु आईडी को बदलने वाले पुनरावृत्त अनुरोधों के लिए दर-सीमा लागू करें; गणना करने वाले खातों को चिह्नित या अवरुद्ध करें।.
6. विस्तृत लॉगिंग और बैकअप सक्षम करें: फोरेंसिक उद्देश्यों के लिए अब लॉग को संरक्षित करें और बैकअप लें।.
7. अस्थायी भूमिका परिवर्तन: विचार करें कि जब तक उपाय लागू नहीं होते, नए उम्मीदवार पंजीकरण को अक्षम कर दें।.

सर्वर-साइड स्वामित्व जांच पैटर्न (उदाहरण)

उम्मीदवार डेटा लौटाने से पहले सर्वर-साइड पर स्वामित्व लागू करें। अपने डेटा मॉडल के लिए निम्नलिखित पैटर्न को अनुकूलित करें।.

// Example: secure_candidate_fetch.php (pseudo-code)
add_action('wp_ajax_get_candidate', 'secure_get_candidate');
// Do not expose to unauthenticated users unless required

function secure_get_candidate() {
    // Verify logged in
    if (!is_user_logged_in()) {
        wp_send_json_error('Authentication required', 401);
    }

    // Verify nonce
    if (!isset($_REQUEST['nonce']) || !wp_verify_nonce($_REQUEST['nonce'], 'candidate_nonce')) {
        wp_send_json_error('Invalid request', 400);
    }

    $current_user_id = get_current_user_id();
    $requested_candidate_id = isset($_REQUEST['candidate_id']) ? intval($_REQUEST['candidate_id']) : 0;
    if (!$requested_candidate_id) {
        wp_send_json_error('Missing or invalid candidate ID', 400);
    }

    // Fetch candidate record (post, custom table, or user meta)
    $candidate_post = get_post($requested_candidate_id);
    if (!$candidate_post || $candidate_post->post_type !== 'candidate') {
        wp_send_json_error('Candidate not found', 404);
    }

    // Ownership check: allow if admin or owner
    if (!current_user_can('manage_options') && intval($candidate_post->post_author) !== intval($current_user_id)) {
        wp_send_json_error('Forbidden', 403);
    }

    // Return minimal fields
    $response = array(
        'id'   => $candidate_post->ID,
        'name' => get_post_meta($candidate_post->ID, 'candidate_name', true),
    );

    wp_send_json_success($response);
}

मुख्य बिंदु: पहचानें कि उम्मीदवार रिकॉर्ड कैसे संग्रहीत होते हैं (पोस्ट, तालिका, उपयोगकर्ता मेटा); सीधे फ़ाइल यूआरएल लौटाने से बचें; हमेशा सर्वर-साइड पर जांचें लागू करें।.

REST API / WP-JSON अनुमति उदाहरण

REST एंडपॉइंट्स के लिए, अनुमति कॉलबैक में स्वामित्व लॉजिक शामिल करें।.

register_rest_route('wp-jobhunt/v1', '/candidate/(?P\d+)', array(
    'methods'             => 'GET',
    'callback'            => 'rest_get_candidate',
    'permission_callback' => function($request) {
        $user_id = get_current_user_id();
        if (!$user_id) {
            return new WP_Error('rest_forbidden', 'You must be authenticated', array('status' => 401));
        }

        $candidate = get_post($request['id']);
        if (!$candidate) {
            return new WP_Error('rest_not_found', 'Candidate not found', array('status' => 404));
        }

        if (current_user_can('manage_options')) {
            return true;
        }

        return intval($candidate->post_author) === intval($user_id);
    }
));

WAF और वर्चुअल पैचिंग (संचालन मार्गदर्शन - विक्रेता-न्यूट्रल)

एज सुरक्षा और वर्चुअल पैचिंग जोखिम को कम कर सकते हैं जबकि आप एक स्थायी समाधान लागू करते हैं। निम्नलिखित विक्रेता-न्यूट्रल दृष्टिकोण पर विचार करें:

• ब्लॉक अनुक्रमण पैटर्न: उन प्रमाणित खातों या आईपी को दर-सीमा या ब्लॉक करें जो संक्षिप्त समय विंडो में अनुक्रमिक या कई उम्मीदवार-आईडी अनुरोध करते हैं।.
• किनारे पर स्वामित्व लागू करें: When possible, have your authentication layer supply a signed header with the authenticated user’s ID so edge rules can compare requester ID against candidate_id parameters.
• फ़ाइल डाउनलोड की सुरक्षा करें: उम्मीदवार अटैचमेंट्स तक सीधे पहुंच को अस्वीकार करें और डाउनलोड को एक प्राधिकरण हैंडलर के माध्यम से रूट करें जो अनुरोधकर्ता को मान्य करता है।.
• संवेदनशील विधियों को प्रतिबंधित करें: गैर-प्रशासक उम्मीदवार खातों को लिखने/हटाने के एंडपॉइंट्स को सक्रिय करने से रोकें जब तक स्वामित्व जांच पास न हो जाए।.

नोट: किनारे के नियम जो केवल आईपी ब्लॉकिंग पर निर्भर करते हैं, झूठे सकारात्मक उत्पन्न कर सकते हैं। जहां संभव हो, सटीक निर्णय लेने के लिए प्रमाणीकरण संदर्भ को एकीकृत करें।.

Suggested detection signatures & rate-limiting (examples)

उत्पादन में लागू करने से पहले स्टेजिंग में सावधानी से परीक्षण करें।.

• एंडपॉइंट पहचान regex: ^/wp-json/wp-jobhunt/v1/candidate/(\d+)
• पैरामीटर पहचान regex: (candidate_id|candidateID|id)=\d+
• Enumeration trigger: > 10 requests in 60s to candidate endpoints with sequential or varying IDs from same IP or session

उदाहरण Nginx दर-सीमा स्निपेट (संकल्पना):

# nginx.conf स्निपेट (संकल्पना)

प्रवर्तन से पहले झूठे सकारात्मक मापने के लिए पहचान-मोड परीक्षण को प्राथमिकता दें।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आप शोषण का संदेह करते हैं)

1. Isolate & collect logs: पहुंच, त्रुटि, और प्लगइन-विशिष्ट लॉग कैप्चर करें; उन्हें अपरिवर्तनीय भंडारण में संरक्षित करें।.
2. कमजोर कार्यक्षमता को निष्क्रिय करें: यदि संभव हो तो उम्मीदवार एंडपॉइंट्स और फ़ाइल डाउनलोड को अस्थायी रूप से अक्षम करें।.
3. रहस्यों को घुमाएं: उपयोगकर्ता खातों से जुड़े API कुंजी और टोकन को घुमाएँ।.
4. हितधारकों को सूचित करें: यदि PII उजागर हुआ है, तो PDPO/GDPR/अन्य कानूनों के तहत उल्लंघन सूचना दायित्वों के लिए कानूनी/अनुपालन से परामर्श करें।.
5. खातों को सुधारें: संदिग्ध खातों को रद्द करें, पासवर्ड रीसेट करने के लिए मजबूर करें, और पुनः प्रमाणीकरण की आवश्यकता करें।.
6. यदि समझौता किया गया है तो पुनर्स्थापित करें: यदि आप अखंडता उल्लंघनों को पाते हैं तो ज्ञात-भले बैकअप से पुनर्स्थापना करना पसंद करें।.
7. आभासी पैच लागू करें: स्थायी सुधारों की तैयारी करते समय किनारे के शमन और सर्वर-साइड हार्डनिंग लागू करें।.
8. पैच करें और परीक्षण करें: उपलब्ध होने पर विक्रेता पैच लागू करें, और उत्पादन से पहले स्टेजिंग में मान्य करें।.
9. घटना के बाद की समीक्षा: मूल कारण का दस्तावेजीकरण करें और पुनरावृत्ति को रोकने के लिए प्रक्रियाओं को मजबूत करें।.

यह परीक्षण करने के लिए कि आपके सुधार काम करते हैं

• स्वचालित परीक्षण: ऐसे यूनिट/इंटीग्रेशन परीक्षण जोड़ें जो विभिन्न उपयोगकर्ताओं (स्वामी, अन्य उम्मीदवार, प्रशासक) के रूप में उम्मीदवार एंडपॉइंट्स को कॉल करें।.
• पेंटेस्ट: अनुक्रमण और अनधिकृत पहुंच का प्रयास करते हुए केंद्रित परीक्षण चलाएँ।.
• कोड समीक्षा: सुनिश्चित करें कि अनुमति जांच केंद्रीकृत हैं और क्लाइंट-प्रदत्त मानों पर आधारित नहीं हैं।.
• स्टेजिंग सत्यापन: झूठे सकारात्मक का मूल्यांकन करने के लिए केवल पहचान मोड में किनारे के नियमों का परीक्षण करें।.

IDORs से बचने के लिए डेवलपर की सर्वोत्तम प्रथाएँ

• एक्सेस नियंत्रण लॉजिक को केंद्रीकृत करें और इसे REST, AJAX, और आंतरिक कॉल्स में लगातार लागू करें।.
• ऑब्जेक्ट आईडी को साफ करें और मान्य करें (intval, absint)।.
• न्यूनतम डेटा लौटाएँ और आंतरिक आईडी या फ़ाइल पथ को उजागर करने से बचें।.
• क्षमता-आधारित जांच (current_user_can) और स्पष्ट मालिक की तुलना का उपयोग करें।.
• केवल अप्रत्याशित आईडी (UUIDs) पर निर्भर रहने से बचें; ये एक्सेस जांचों के लिए विकल्प नहीं हैं।.

प्लगइन रखरखाव करने वालों के लिए व्यावहारिक चेकलिस्ट

• उम्मीदवार एंडपॉइंट्स पर is_user_logged_in() को लागू करें।.
• AJAX कॉल्स के लिए wp_verify_nonce() के साथ नॉनस की पुष्टि करें।.
• दृश्य/संशोधन के लिए स्वामित्व जांच (current_user_id === owner_id) लागू करें।.
• सख्त मान्यता के साथ REST रूट्स के लिए permission_callback का उपयोग करें।.
• संवेदनशील अपलोड के लिए सीधे लिंक को उजागर करने से बचें; प्रॉक्सी डाउनलोड का उपयोग करें जो प्राधिकरण की पुष्टि करते हैं।.
• विफल स्वामित्व जांचों को लॉग करें और एक बार थ्रेशोल्ड तक पहुँचने पर प्रशासकों को सूचित करें।.

Logging & monitoring: what to look for

• एकल प्रमाणित उपयोगकर्ता द्वारा एक्सेस किए गए अनुक्रमिक आईडी।.
• उपयुक्त क्षमता के बिना उपयोगकर्ताओं द्वारा उम्मीदवार एंडपॉइंट्स तक पहुँच।.
• एक ही खाते के लिए कई 403 प्रतिक्रियाएँ (जांचने वाला व्यवहार)।.
• संदिग्ध रेफरर्स या उपयोगकर्ता एजेंटों के साथ रिज़्यूमे फ़ाइलों के लिए डाउनलोड अनुरोध।.
• अपडेट के बाद उम्मीदवार एंडपॉइंट ट्रैफ़िक में अप्रत्याशित वृद्धि।.

अब किनारे की सुरक्षा पर विचार क्यों करें

एज सुरक्षा आपको कोड सुधार लागू करते समय तेजी से जोखिम कम करने की सुविधा देती है:

• ज्ञात शोषण पैटर्न को बिना तत्काल कोड परिवर्तनों के रोकने के लिए वर्चुअल पैचिंग।.
• सामूहिक गणना को रोकने के लिए दर-सीमा और व्यवहारिक नियम।.
• सर्वर लॉग के साथ पूरक एकीकृत एप्लिकेशन-स्तरीय लॉगिंग और अलर्टिंग।.

यदि आप एज सुरक्षा सेवा या CDN संचालित करते हैं, तो सुनिश्चित करें कि इसमें REST/AJAX एंडपॉइंट्स और फ़ाइल डाउनलोड की सुरक्षा के लिए नियम हैं।.

दीर्घकालिक सुरक्षा स्थिति सिफारिशें

• पूर्व-परिनियोजन परीक्षण के बाद WordPress कोर, थीम और प्लगइन्स को अपडेट रखें।.
• हमले की सतह को कम करें: अप्रयुक्त प्लगइन्स और डुप्लिकेट सुविधाओं को हटा दें।.
• पीआईआई या फ़ाइल अपलोड करने वाले प्लगइन्स के लिए विशेष रूप से आवधिक सुरक्षा ऑडिट और कोड समीक्षाएँ।.
• कस्टम भूमिकाओं के लिए नियमित भूमिका और क्षमता समीक्षाएँ।.
• ऑफसाइट प्रतिकृति और परीक्षण किए गए पुनर्स्थापना प्रक्रियाओं के साथ बार-बार बैकअप।.
• प्रशासनिक खातों के लिए मल्टी-फैक्टर प्रमाणीकरण (MFA) का उपयोग करें; आवेदक डेटा तक पहुँचने वाले खातों के लिए मजबूत सत्यापन पर विचार करें।.
• अनुकूलन के लिए एक सुरक्षित विकास जीवनचक्र अपनाएँ।.

उदाहरण फोरेंसिक क्वेरी स्निप्पेट्स

अपाचे एक्सेस लॉग (क्रमिक उम्मीदवार आईडी एक्सेस पैटर्न का पता लगाना):

cat access.log | grep "wp-json/wp-jobhunt/v1/candidate" | awk '{print $1,$4,$7}' | sort | uniq -c | sort -nr | head

MySQL: एक पोस्ट के लिए उम्मीदवार मालिक खोजें (WP पोस्ट तालिका):

SELECT ID, post_author, post_title FROM wp_posts WHERE post_type = 'candidate' AND ID = 123;

व्यावसायिक जोखिम और अनुपालन विचार

तकनीकी स्कोर कम होने के बावजूद, व्यावसायिक प्रभाव गंभीर हो सकता है। उम्मीदवार के सीवी में अक्सर संपर्क विवरण और संभावित संवेदनशील जानकारी शामिल होती है। एक्सपोजर PDPO, GDPR, या समकक्ष कानूनों के तहत सूचना देने के कर्तव्यों को ट्रिगर कर सकता है और नियोक्ताओं और प्लेटफार्मों को प्रतिष्ठा हानि पहुँचा सकता है।.

आंतरिक हितधारकों के लिए संचार टेम्पलेट तैयार करें और यदि डेटा एक्सपोज़र की पुष्टि होती है तो एक गोपनीयता-नोटिफिकेशन योजना बनाएं।.

सारांश: साइट मालिकों के लिए तात्कालिक कदम

1. पुष्टि करें कि WP JobHunt (≤ 7.7) स्थापित और सक्रिय है।.
2. यदि मौजूद है और आप तुरंत अपडेट नहीं कर सकते, तो एज शमन (रेट-लिमिटिंग, स्वामित्व जांच) लागू करें और सर्वर-साइड कोड को मजबूत करें।.
3. स्वामित्व जांच और नॉनसेस के साथ AJAX/REST एंडपॉइंट्स को मजबूत करें।.
4. ऊपर वर्णित IDOR शोषण पैटर्न के लिए ऑडिट लॉग।.
5. डेटा का बैकअप लें और शमन लागू होने तक उम्मीदवार फ़ाइलों तक पहुंच को प्रतिबंधित करने पर विचार करें।.
6. जैसे ही विक्रेता पैच प्रकाशित होते हैं, उन्हें लागू करें और उत्पादन में रोल आउट करने से पहले स्टेजिंग में सुधारों को मान्य करें।.