| प्लगइन का नाम | एडवांस WP क्वेरी सर्च फ़िल्टर |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2025-14312 |
| तात्कालिकता | मध्यम |
| CVE प्रकाशन तिथि | 2025-12-30 |
| स्रोत URL | CVE-2025-14312 |
CVE-2025-14312 — “एडवांस WP क्वेरी सर्च फ़िल्टर” में XSS”
हांगकांग सुरक्षा दृष्टिकोण से एक संक्षिप्त तकनीकी सलाह और शमन गाइड।.
सारांश
वर्डप्रेस प्लगइन “एडवांस WP क्वेरी सर्च फ़िल्टर” में एक परावर्तित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो एक हमलावर को तैयार किए गए इनपुट पैरामीटर के माध्यम से जावास्क्रिप्ट इंजेक्ट करने की अनुमति देती है। सफल शोषण से सत्र चोरी, दुर्भावनापूर्ण रीडायरेक्ट, या पीड़ित के ब्राउज़र के संदर्भ में क्लाइंट-साइड पेलोड निष्पादन हो सकता है।.
तकनीकी विवरण
भेद्यता परावर्तित XSS है: उपयोगकर्ता-नियंत्रित इनपुट बिना उचित सफाई या आउटपुट एन्कोडिंग के आउटपुट रेंडरिंग तक पहुँचता है। सामान्य रूप से प्रभावित प्रवेश बिंदु वे क्वेरी पैरामीटर हैं जो खोज परिणाम बनाने, फ़िल्टर लेबल, या शॉर्टकोड का उपयोग करते हैं जो सीधे HTML में अनुरोध डेटा को दर्शाते हैं।.
सामान्य भेद्यता पैटर्न
<?php
सरल शोषण उदाहरण (परावर्तित)
एक URL तक पहुँचते हुए जैसे:
https://example.com/?filter_label=<script></script>यदि एप्लिकेशन पैरामीटर को एन्कोडिंग के बिना दर्शाता है, तो स्क्रिप्ट आगंतुक के ब्राउज़र में चलती है।.
प्रभाव
- प्रशासनिक उपयोगकर्ताओं के लिए सत्र टोकन चोरी और खाता अधिग्रहण के जोखिम।.
- डेटा निकासी, UI पुनर्निर्माण, या धोखाधड़ी कार्यों की ओर ले जाने वाली दुर्भावनापूर्ण जावास्क्रिप्ट निष्पादन।.
- हांगकांग और क्षेत्र में काम करने वाले संगठनों के लिए प्रतिष्ठा को नुकसान और संभावित नियामक जोखिम।.
पहचान
शोषण के संकेतों की तलाश करें और उन कोड पैटर्न की खोज करें जो असफाई किए गए इनपुट को दर्शाते हैं।.