Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह MyBookTable XSS(CVE202562743)

वर्डप्रेस MyBookTable बुकस्टोर प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0






Cross-Site Scripting in MyBookTable Bookstore Plugin (<= 3.5.5) — What WordPress Site Owners Must Do Right Now


प्लगइन का नाम MyBookTable बुकस्टोर
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2025-62743
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2025-12-31
स्रोत URL CVE-2025-62743

MyBookTable बुकस्टोर प्लगइन (≤ 3.5.5) में क्रॉस-साइट स्क्रिप्टिंग — वर्डप्रेस साइट मालिकों को अभी क्या करना चाहिए

हांगकांग सुरक्षा विशेषज्ञ द्वारा — प्रकाशित: 31 दिसम्बर, 2025 — टैग: वर्डप्रेस, MyBookTable, XSS, घटना प्रतिक्रिया, प्लगइन सुरक्षा

सारांश: MyBookTable बुकस्टोर प्लगइन संस्करणों ≤ 3.5.5 को प्रभावित करने वाली एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE-2025-62743) प्रकाशित की गई है। शोषण एक प्रमाणित उपयोगकर्ता द्वारा किया जा सकता है जिसके पास योगदानकर्ता विशेषाधिकार हैं और इसके लिए उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है। लेखन के समय कोई आधिकारिक पैच उपलब्ध नहीं है। यह सलाह जोखिम, संभावित हमले के परिदृश्य, पहचान तकनीक, आप अभी लागू कर सकते हैं ऐसे शमन और यदि आप समझौता होने का संदेह करते हैं तो एक केंद्रित पुनर्प्राप्ति योजना को समझाती है।.

क्या हुआ (संक्षेप में)

वर्डप्रेस के लिए MyBookTable बुकस्टोर प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का खुलासा किया गया और इसे CVE-2025-62743 सौंपा गया। यह समस्या एक निम्न-विशेषाधिकार प्रमाणित उपयोगकर्ता (योगदानकर्ता स्तर) को HTML/JavaScript संग्रहीत करने की अनुमति देती है जो प्रभावित सामग्री को देखने पर अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होगा। शोषण के लिए किसी प्रकार के उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है। प्रकाशन के समय, कोई विक्रेता-प्रदत्त पैच उपलब्ध नहीं है।.

चूंकि पेलोड संग्रहीत होते हैं (उदाहरण के लिए, एक पुस्तक विवरण या कस्टम फ़ील्ड में) और बाद में साइट विज़िटर्स या प्रशासकों द्वारा निष्पादित होते हैं, साइट मालिकों — विशेष रूप से उन लोगों को जो सार्वजनिक बुकस्टोर पृष्ठों या बाहरी सामग्री योगदानकर्ताओं पर निर्भर साइटों का संचालन करते हैं — को इसे तत्काल मानना चाहिए और तेजी से कार्रवाई करनी चाहिए।.

यह XSS वर्डप्रेस साइटों के लिए क्यों महत्वपूर्ण है

संग्रहीत XSS सबसे हानिकारक वेब भेद्यताओं में से एक है। डेटाबेस में इंजेक्ट किए गए स्क्रिप्ट हर बार प्रभावित पृष्ठ लोड होने पर निष्पादित होते हैं। संभावित परिणामों में शामिल हैं:

  • चुराए गए कुकीज़ या सत्र टोकन के माध्यम से खाता अधिग्रहण।.
  • प्रशासकों की ओर से क्रियाएँ आरंभ करके विशेषाधिकार का दुरुपयोग (CSRF-शैली प्रभाव)।.
  • डेटा चोरी — व्यक्तिगत डेटा का संग्रहण या निजी सामग्री को स्क्रैप करना।.
  • विकृति, स्पैम इंजेक्शन या दुर्भावनापूर्ण रीडायरेक्ट के माध्यम से प्रतिष्ठा और SEO को नुकसान।.
  • विज़िटर्स को मैलवेयर का वितरण।.

कई साइटें ठेकेदारों या अतिथि लेखकों को योगदानकर्ता स्तर की पहुंच प्रदान करती हैं; इस कारण, एक XSS जिसे केवल योगदानकर्ता विशेषाधिकार की आवश्यकता होती है, वास्तविक दुनिया की वर्डप्रेस साइटों के लिए एक व्यावहारिक और गंभीर जोखिम है।.

भेद्यता का तकनीकी सारांश

  • कमजोरियों का प्रकार: संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)
  • प्रभावित सॉफ़्टवेयर: वर्डप्रेस के लिए MyBookTable बुकस्टोर प्लगइन (≤ 3.5.5)
  • CVE: CVE‑2025‑62743
  • CVSS v3.1 (रिपोर्ट किया गया): 6.5 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L)

मूल कारण (सारांश): प्लगइन आउटपुट उपयोगकर्ता द्वारा प्रदान की गई सामग्री (बुक विवरण, फ़ील्ड) को पर्याप्त स्वच्छता या संदर्भ-उपयुक्त एस्केपिंग के बिना प्रस्तुत करता है, जिससे संग्रहीत स्क्रिप्ट अन्य उपयोगकर्ताओं के ब्राउज़रों में बने रहने और निष्पादित होने की अनुमति मिलती है।.

नोट: यहां कोई शोषण PoC प्रदान नहीं किया गया है। हथियार बनाने योग्य शोषण कोड साझा करना गैर-जिम्मेदाराना है; नीचे का ध्यान पहचान, शमन और पुनर्प्राप्ति पर है।.

यथार्थवादी हमले के परिदृश्य

  1. दुर्भावनापूर्ण योगदानकर्ता एक स्क्रिप्ट वाला पुस्तक विवरण जोड़ता है

    एक हमलावर जो योगदानकर्ता विशेषाधिकार रखता है, एक तैयार पुस्तक विवरण JavaScript के साथ डालता है। जब संपादक, प्रशासक या आगंतुक उस पुस्तक पृष्ठ को देखते हैं, तो स्क्रिप्ट चलती है।.

  2. समझौता किया गया ठेकेदार खाता

    एक ठेकेदार के क्रेडेंशियल्स फिश किए जाते हैं या अन्यथा समझौता किया जाता है; हमलावर प्लगइन की सामग्री फ़ील्ड के माध्यम से स्थायी पेलोड इंजेक्ट करता है।.

  3. सामाजिक-इंजीनियर्ड प्रशासक इंटरैक्शन

    हमलावर उच्च-विशेषाधिकार वाले उपयोगकर्ताओं को एक तैयार पृष्ठ खोलने या एक लिंक पर क्लिक करने के लिए प्रेरित करते हैं, जिससे डेटा निर्यात, सेटिंग्स में परिवर्तन या वृद्धि जैसी द्वितीयक क्रियाएं सक्षम होती हैं।.

  4. आपूर्ति-श्रृंखला या भागीदार आयात

    तीसरे पक्ष के फ़ीड या आयात में दुर्भावनापूर्ण सामग्री जो प्लगइन लॉजिक के माध्यम से गुजरती है, संग्रहीत XSS पेश कर सकती है।.

पहचान: कैसे पता करें कि आपकी साइट को लक्षित किया गया था या समझौता किया गया था

पहचान में दो भाग होते हैं: इंजेक्ट की गई सामग्री को ढूंढना और किसी भी पोस्ट-शोषण प्रभाव की पहचान करना।.

ए. इंजेक्ट की गई सामग्री के लिए खोजें

  • पुस्तक विवरण, सारांश, लेखक बायो और प्लगइन द्वारा उपयोग किए गए कस्टम फ़ील्ड की जांच करें।.
  • डेटाबेस तालिकाओं — wp_posts, wp_postmeta और प्लगइन-विशिष्ट तालिकाओं — में <script, onerror=, <svg/onload, या इनलाइन इवेंट हैंडलर्स जैसे पैटर्न के लिए क्वेरी करें। उदाहरण SQL खोज पैटर्न: LIKE '%<script%' या LIKE '%onerror=%'. हमेशा परिवर्तन करने से पहले स्नैपशॉट लें।.

बी. लॉग और अनुरोध गतिविधि

  • पुस्तक निर्माण/अपडेट एंडपॉइंट्स और असामान्य POST पेलोड के लिए वेब सर्वर एक्सेस लॉग की समीक्षा करें।.
  • अप्रत्याशित सामग्री निर्माण या अनुमति परिवर्तनों के लिए प्रशासनिक गतिविधि लॉग की जांच करें।.

सी. समझौते के संकेत (IoCs)

  • अप्रत्याशित प्रशासनिक उपयोगकर्ता या भूमिका परिवर्तन।.
  • अपरिचित स्क्रिप्ट या एन्कोडेड पेलोड वाले पोस्ट या पृष्ठ।.
  • साइट से अज्ञात डोमेन के लिए असामान्य आउटबाउंड कनेक्शन।.
  • इंजेक्टेड जावास्क्रिप्ट को फ्लैग करने वाले मैलवेयर स्कैनर अलर्ट।.

डी. आगंतुक रिपोर्ट

कुछ पुस्तक पृष्ठों पर जाने पर रीडायरेक्ट, पॉपअप, या अप्रत्याशित प्रॉम्प्ट की रिपोर्टें यह मजबूत संकेत हैं कि संग्रहीत XSS सक्रिय है।.

यदि आप इंजेक्टेड स्क्रिप्ट पाते हैं, तो साइट को संभावित रूप से समझौता किया गया मानें और नीचे दिए गए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

तत्काल निवारण जो आपको लागू करना चाहिए (अल्पकालिक)

इन त्वरित कार्यों को अभी लागू करें - ये व्यावहारिक, कम-जोखिम वाले हस्तक्षेप हैं जो पूर्ण सुधार की योजना बनाते समय जोखिम को कम करते हैं।.

  1. योगदानकर्ता सबमिशन क्षमता को प्रतिबंधित करें

    अस्थायी रूप से योगदानकर्ता विशेषाधिकार को कम करें या प्लगइन के माध्यम से सीधे सामग्री सबमिशन को निष्क्रिय करें। किसी भी नए पुस्तक प्रविष्टियों या संपादनों के लिए संपादक की स्वीकृति की आवश्यकता है।.

  2. यदि संभव हो तो प्लगइन को निष्क्रिय करें

    यदि प्लगइन तत्काल संचालन के लिए महत्वपूर्ण नहीं है, तो इसे निष्क्रिय करें जब तक कि विक्रेता का पैच उपलब्ध न हो या आप सुरक्षित कार्यप्रणालियों को लागू कर सकें। यदि समझौते का संदेह है, तो ज्ञात-साफ बैकअप से पुनर्स्थापित करने पर विचार करें।.

  3. प्रशासनिक और संपादक खातों को मजबूत करें

    प्रशासकों और विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए पासवर्ड रीसेट करने के लिए मजबूर करें, मजबूत पासवर्ड लागू करें और संपादकों और उससे ऊपर के लिए दो-कारक प्रमाणीकरण सक्षम करें।.

  4. एज ब्लॉकिंग / वर्चुअल पैचिंग नियम लागू करें

    सर्वर या एज नियम (WAF या वेब सर्वर फ़िल्टर) को तैनात करें ताकि स्क्रिप्ट टैग या सामान्य XSS पैटर्न को प्लगइन एंडपॉइंट्स पर सबमिट करने के प्रयासों को ब्लॉक किया जा सके। यह एक अस्थायी उपाय है और कोड सुधार का विकल्प नहीं है।.

  5. इनजेशन पर इनपुट को साफ करें

    जहां संभव हो, HTML की आवश्यकता न होने वाले फ़ील्ड के लिए HTML टैग को अस्वीकार करें या हटा दें (उदाहरण के लिए, संक्षिप्त विवरण)। फ़ाइल अपलोड के लिए सख्त Content-Type मान्यता लागू करें।.

  6. एक प्रतिबंधात्मक सामग्री सुरक्षा नीति (CSP) पेश करें

    एक CSP तैनात करें जो इनलाइन स्क्रिप्ट्स को मना करता है और जहां संभव हो, script-src को विश्वसनीय मूल और नॉनसेस तक सीमित करता है। एक संवेदनशील CSP संग्रहीत इनलाइन XSS पेलोड के प्रभाव को काफी कम कर सकता है।.

  7. टेम्पलेट्स में आउटपुट एस्केपिंग को कड़ा करें

    यदि आप स्थानीय रूप से टेम्पलेट्स को संपादित कर सकते हैं, तो सुनिश्चित करें कि किसी भी उपयोगकर्ता द्वारा प्रदान की गई सामग्री को उचित संदर्भ के लिए WordPress एस्केप फ़ंक्शंस (esc_html, esc_attr, esc_url, wp_kses न्यूनतम व्हाइटलिस्ट के साथ) का उपयोग करके एस्केप किया गया है।.

  8. सार्वजनिक दृश्यता को सीमित करें

    विचार करें कि पुस्तक पृष्ठों को निजी बनाना या प्लगइन के पैच होने और सामग्री के मान्य होने तक पहुंच को प्रतिबंधित करना।.

मध्यम अवधि और दीर्घकालिक सुधार और सर्वोत्तम प्रथाएँ

  • उपलब्ध होने पर विक्रेता पैच स्थापित करें: स्टेजिंग में अपडेट का परीक्षण करें, पुनरावृत्तियों के लिए स्कैन करें, फिर उत्पादन में तैनात करें।.
  • सुरक्षित कोडिंग मानकों को अपनाएं: प्रत्येक डेटा प्रवाह के लिए इनपुट को मान्य करें, आउटपुट को साफ करें और एस्केप करें। WordPress सुरक्षा दिशानिर्देशों का पालन करें।.
  • न्यूनतम विशेषाधिकार का उपयोग करें: उपयोगकर्ता भूमिकाओं को सीमित करें और सामग्री योगदानकर्ताओं को HTML इंजेक्ट करने की क्षमता देने से बचें जहां आवश्यक न हो।.
  • तृतीय-पक्ष आयात को साफ करें: भागीदार फ़ीड को अविश्वसनीय मानें और उन्हें डेटाबेस में लिखने से पहले साफ करें।.
  • निरंतर निगरानी: अखंडता जांच, मैलवेयर स्कैन और फ़ाइल-प्रणाली निगरानी का कार्यक्रम बनाएं।.
  • बैकअप और पुनर्प्राप्ति परीक्षण: ऑफ़लाइन, संस्करणित बैकअप बनाए रखें और समय-समय पर पुनर्स्थापनों का परीक्षण करें।.
  • विकास जीवनचक्र में सुरक्षा: कोड जारी करने से पहले SAST/DAST और सुरक्षा समीक्षाओं को एकीकृत करें।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आप समझौता होने का संदेह करते हैं)

  1. साइट को ऑफ़लाइन ले जाएं या रखरखाव मोड सक्षम करें यदि व्यावसायिक प्रभाव अनुमति देता है।.
  2. सुधार शुरू होने से पहले एक पूर्ण स्नैपशॉट बैकअप बनाएं (डेटाबेस + फ़ाइलें)।.
  3. इंजेक्शन बिंदु की पहचान करें: दुर्भावनापूर्ण HTML/JS के लिए पुस्तक विवरण, कस्टम फ़ील्ड, प्लगइन तालिकाएँ और wp_posts खोजें।.
  4. इंजेक्टेड सामग्री को हटा दें सावधानी से; यदि संदेह हो तो ज्ञात-साफ बैकअप से पुनर्स्थापित करें।.
  5. क्रेडेंशियल्स को घुमाएं: प्रशासकों और संदिग्ध खातों के लिए पासवर्ड रीसेट करें, API कुंजियों, FTP/SFTP और डेटाबेस पासवर्ड को घुमाएँ।.
  6. उपयोगकर्ता खातों की समीक्षा करें: इंजेक्शन के लिए उपयोग किए गए योगदानकर्ता खातों को हटा दें या ऑडिट करें; विशेषाधिकार प्राप्त खातों पर MFA लागू करें।.
  7. फ़ाइलों को स्कैन और साफ करें: बैकडोर या संशोधित फ़ाइलों की तलाश करें और किसी भी पहचानी गई धमकी को हटा दें।.
  8. पुनर्स्थापित करें और परीक्षण करें: कार्यक्षमता को मान्य करें और किसी भी पोस्ट-रिस्टोरेशन गतिविधि के लिए लॉग की निगरानी करें।.
  9. घटना के बाद की हार्डनिंग: CSP, एज नियम, भूमिका प्रतिबंध और बढ़ी हुई निगरानी लागू करें।.
  10. हितधारकों को सूचित करें: यदि संवेदनशील डेटा उजागर हुआ है, तो अधिसूचना के लिए स्थानीय नियामक आवश्यकताओं का पालन करें और घटना का दस्तावेज़ बनाएं।.

वर्डप्रेस स्टोर्स के लिए सहायक हार्डनिंग चेकलिस्ट

  • WordPress कोर, थीम और प्लगइन्स को अद्यतित रखें; पहले स्टेजिंग में परिवर्तनों का परीक्षण करें।.
  • सभी भूमिकाओं के लिए न्यूनतम विशेषाधिकार का उपयोग करें; योगदानकर्ताओं को HTML-सक्षम अनुमतियाँ देने में सावधानी बरतें।.
  • संपादकों और प्रशासकों के लिए दो-कारक प्रमाणीकरण की आवश्यकता करें।.
  • CSP लागू करें ताकि इनलाइन स्क्रिप्ट की अनुमति न हो और विश्वसनीय स्क्रिप्ट स्रोतों को प्रतिबंधित किया जा सके।.
  • निर्धारित मैलवेयर स्कैन चलाएं और डेटाबेस की अखंडता की जांच करें।.
  • नियमित रूप से प्लगइन्स का ऑडिट करें और अप्रयुक्त या पुरानी एक्सटेंशन को हटा दें।.
  • कस्टम प्लगइन्स और थीम के लिए कोड समीक्षा की आवश्यकता है।.
  • ऑफसाइट, एन्क्रिप्टेड बैकअप बनाए रखें और नियमित रूप से पुनर्स्थापना का परीक्षण करें।.
  • घटना जांच के लिए लॉग को केंद्रीकृत और बनाए रखें।.

डेवलपर मार्गदर्शन: सुरक्षित आउटपुट और स्वच्छता प्रथाएँ

यदि आप प्लगइन कोड या थीम टेम्पलेट को संशोधित कर सकते हैं, तो इन ठोस नियमों को लागू करें:

  • इनबाउंड डेटा को साफ करें: sanitize_text_field(), sanitize_email(), sanitize_textarea_field(), wp_kses_post() और उपयुक्त स्थानों पर समान का उपयोग करें। समृद्ध पाठ के लिए, wp_kses() का उपयोग करें जिसमें एक तंग व्हाइटलिस्ट हो।.
  • आउटपुट को एस्केप करें: HTML बॉडी सामग्री के लिए esc_html(), विशेषताओं के लिए esc_attr(), और URLs के लिए esc_url()।.
  • कच्चे उपयोगकर्ता इनपुट को न दिखाएं: सुनिश्चित करें कि डेटाबेस सामग्री लौटाने वाले फ़ंक्शन टेम्पलेट परत में एस्केप किए गए हैं।.
  • नॉनसेस और क्षमता जांच का उपयोग करें: नॉनसेस की पुष्टि करें और किसी भी एंडपॉइंट पर current_user_can() को कॉल करें जो डेटा लिखता है।.
  • सर्वर-साइड को मान्य करें: क्लाइंट-साइड मान्यता UX के लिए सहायक है लेकिन हमेशा सर्वर-साइड पर जांचें लागू करें।.
  • जहां आवश्यकता न हो वहां HTML को प्रतिबंधित करें: उन फ़ील्ड के लिए इनपुट पर टैग को हटा दें जिन्हें HTML की आवश्यकता नहीं है और सामान्य पाठ को स्टोर करें।.

WAFs और स्तरित रक्षा के बारे में

एक वेब एप्लिकेशन फ़ायरवॉल (WAF) एक प्रभावी अस्थायी नियंत्रण हो सकता है: यह ज्ञात पैटर्न को ब्लॉक करता है और सक्रिय शोषण को कम करता है जबकि आप सुधार पर काम करते हैं। हालाँकि, एक WAF एप्लिकेशन कोड में मूल कारण को ठीक करने का विकल्प नहीं है।.

अनुशंसित दृष्टिकोण:

  1. समय खरीदने और शोर को कम करने के लिए एज-लेवल सुरक्षा (WAF नियम) का उपयोग करें।.
  2. प्लगइन में मूल कारण को ठीक करें (उचित सफाई और संदर्भ-जानकारी वाली एस्केपिंग)।.
  3. भूमिकाओं को मजबूत करें, CSP लागू करें और विशेषाधिकार प्राप्त खातों के लिए मजबूत प्रमाणीकरण की आवश्यकता करें।.
  4. किसी भी शोषण के संकेतों की निगरानी करें, स्कैन करें और तेजी से प्रतिक्रिया दें।.

निष्कर्ष

संग्रहीत XSS कमजोरियां स्थायी और खतरनाक होती हैं क्योंकि इंजेक्टेड स्क्रिप्ट आपके डेटा में बनी रहती हैं और जब पृष्ठ लोड होते हैं तो निष्पादित होती हैं। CVE‑2025‑62743 (MyBookTable बुकस्टोर ≤ 3.5.5) विशेष रूप से चिंताजनक है क्योंकि प्रारंभिक इंजेक्शन के लिए आवश्यक विशेषाधिकार कम है।.

जब तक विक्रेता का पैच उपलब्ध नहीं होता, इन तात्कालिक कदमों को उठाएं: योगदानकर्ता विशेषाधिकारों को सीमित करें, प्लगइन को निष्क्रिय करने पर विचार करें, एज नियम और CSP लागू करें, सामग्री का ऑडिट और सफाई करें, खाता सुरक्षा को मजबूत करें, और यदि आप इंजेक्टेड स्क्रिप्ट पाते हैं तो घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

हांगकांग या क्षेत्र में संचालित साइटों के लिए: सुनिश्चित करें कि आप व्यक्तिगत डेटा के उजागर होने की स्थिति में डेटा उल्लंघनों और सूचनाओं के संबंध में किसी भी स्थानीय नियामक दायित्वों की समीक्षा करें।.

क्रेडिट और समयरेखा

  • रिपोर्ट किया गया: मुहम्मद युधा - DJ
  • प्रकाशित: 31 दिसंबर, 2025
  • CVE: CVE‑2025‑62743

आगे पढ़ने और उपकरण

  • वर्डप्रेस दस्तावेज़: एस्केपिंग, सफाई और मान्यता।.
  • OWASP XSS रोकथाम चीट शीट।.
  • सामग्री-सुरक्षा-नीति (CSP) दस्तावेज़ और उदाहरण।.

यदि आपको ट्रायज, पहचान या सुधार में सहायता की आवश्यकता है, तो एक योग्य सुरक्षा सलाहकार या आपके होस्टिंग प्रदाता की सुरक्षा टीम को संलग्न करने पर विचार करें ताकि containment और recovery को प्राथमिकता दी जा सके।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

मिनामेज़ थीम XSS सामुदायिक सलाह (CVE202562991)

अगला लेख —

हांगकांग सुरक्षा चेतावनी क्यूरेटर io XSS(CVE202562742)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा चेतावनी असुरक्षित छवि एक्सेस (CVE202511176)

  • अक्टूबर 15, 2025
वर्डप्रेस क्विक फीचर्ड इमेजेस प्लगइन <= 13.7.2 - छवि हेरफेर कमजोरियों के लिए असुरक्षित प्रत्यक्ष वस्तु संदर्भ
Wवर्डप्रेस भेद्यता डेटाबेस

सुरक्षा चेतावनी LWSCache प्राधिकरण बायपास जोखिम (CVE20258147)

  • अगस्त 28, 2025
वर्डप्रेस LWSCache प्लगइन <= 2.8.5 - lwscache_activatePlugin फ़ंक्शन कमजोरियों के माध्यम से प्रमाणित (सदस्य+) सीमित प्लगइन सक्रियण के लिए प्राधिकरण की कमी
Wवर्डप्रेस भेद्यता डेटाबेस

वर्डप्रेस बुकिंग अल्ट्रा प्रो प्लगइन <1.1.4 - क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता

  • मई 7, 2023
वर्डप्रेस बुकिंग अल्ट्रा प्रो प्लगइन (v1.1.4 या पहले) में एक अनफिक्स्ड उच्च-गंभीरता XSS भेद्यता है, जो दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन की अनुमति देती है। अन्य ज्ञात भेद्यताओं में CSRF मुद्दे शामिल हैं।.