| प्लगइन का नाम | एडवांस WP क्वेरी सर्च फ़िल्टर |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2025-14312 |
| तात्कालिकता | मध्यम |
| CVE प्रकाशन तिथि | 2025-12-30 |
| स्रोत URL | CVE-2025-14312 |
CVE-2025-14312 — “Advance WP Query Search Filter” में XSS”
हांगकांग सुरक्षा दृष्टिकोण से एक संक्षिप्त तकनीकी सलाह और शमन गाइड।.
सारांश
वर्डप्रेस प्लगइन “Advance WP Query Search Filter” में एक परावर्तित क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा दोष है जो हमलावर को तैयार किए गए इनपुट पैरामीटर के माध्यम से जावास्क्रिप्ट इंजेक्ट करने की अनुमति देता है। सफल शोषण सत्र चोरी, दुर्भावनापूर्ण रीडायरेक्ट, या पीड़ित के ब्राउज़र के संदर्भ में क्लाइंट-साइड पेलोड निष्पादन का कारण बन सकता है।.
तकनीकी विवरण
भेद्यता परावर्तित XSS है: उपयोगकर्ता-नियंत्रित इनपुट बिना उचित सफाई या आउटपुट एन्कोडिंग के आउटपुट रेंडरिंग तक पहुँचता है। सामान्य रूप से प्रभावित प्रवेश बिंदु वे क्वेरी पैरामीटर हैं जो खोज परिणाम बनाने, फ़िल्टर लेबल, या शॉर्टकोड का उपयोग करते हैं जो सीधे HTML में अनुरोध डेटा को दर्शाते हैं।.
सामान्य भेद्यता पैटर्न
<?php
सरल शोषण उदाहरण (परावर्तित)
एक URL तक पहुँचते हुए जैसे:
https://example.com/?filter_label=यदि एप्लिकेशन पैरामीटर को एन्कोडिंग के बिना दर्शाता है, तो स्क्रिप्ट आगंतुक के ब्राउज़र में चलती है।.
प्रभाव
- प्रशासनिक उपयोगकर्ताओं के लिए सत्र टोकन चोरी और खाता अधिग्रहण के जोखिम।.
- डेटा निकासी, UI पुनर्निर्माण, या धोखाधड़ी कार्यों की ओर ले जाने वाली दुर्भावनापूर्ण जावास्क्रिप्ट निष्पादन।.
- हांगकांग और क्षेत्र में काम करने वाले संगठनों के लिए प्रतिष्ठा को नुकसान और संभावित नियामक जोखिम।.
पहचान
शोषण के संकेतों की तलाश करें और उन कोड पैटर्न की खोज करें जो असफाई किए गए इनपुट को दर्शाते हैं।.
