Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा अलर्ट XSS नेक्स्टजेन गैलरी(CVE20252537)

वर्डप्रेस नेक्स्टजेन गैलरी प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0






NextGEN Gallery (<= 3.59.11) DOM-based Stored XSS (CVE-2025-2537) — What it Means and How to Protect Your WordPress Site


NextGEN गैलरी (<= 3.59.11) DOM-आधारित स्टोर किया गया XSS (CVE-2025-2537) — इसका क्या मतलब है और अपने वर्डप्रेस साइट की सुरक्षा कैसे करें

लेखक: हांगकांग सुरक्षा विशेषज्ञ  |  दिनांक: 2026-01-30  |  टैग: वर्डप्रेस सुरक्षा, NextGEN गैलरी, XSS, घटना प्रतिक्रिया
प्लगइन का नाम NextGEN गैलरी
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2025-2537
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-01-30
स्रोत URL CVE-2025-2537

TL;DR

30 जनवरी 2026 को एक DOM-आधारित स्टोर किया गया क्रॉस-साइट स्क्रिप्टिंग (XSS) समस्या जो NextGEN गैलरी संस्करण <= 3.59.11 (CVE‑2025‑2537) को प्रभावित करती है, शोधकर्ता वेबरनॉट द्वारा प्रकट की गई और 3.59.12 में ठीक की गई। एक दुर्भावनापूर्ण योगदानकर्ता खाता गैलरी मेटाडेटा में पेलोड को बनाए रख सकता है जिसे बाद में क्लाइंट-साइड थिकबॉक्स कोड द्वारा असुरक्षित रूप से व्याख्यायित किया जाता है, जिससे आगंतुकों के ब्राउज़रों में स्क्रिप्ट निष्पादन होता है — जिसमें संपादक या प्रशासक शामिल हैं जो गैलरी आइटम के साथ इंटरैक्ट करते हैं। CVSS 6.5 है। शोषण के लिए एक प्रमाणित योगदानकर्ता खाता और उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है, लेकिन वास्तविक जोखिम उन बहु-लेखक, सदस्यता और सामुदायिक साइटों के लिए मौजूद है जो अविश्वसनीय उपयोगकर्ताओं से अपलोड स्वीकार करते हैं।.

यदि आप NextGEN गैलरी चला रहे हैं, तो तुरंत 3.59.12 में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो नीचे वर्णित शमन (हार्डनिंग, आपके WAF के माध्यम से वर्चुअल पैचिंग, पहचान और घटना प्रतिक्रिया) लागू करें ताकि जोखिम को कम किया जा सके।.

यह क्यों महत्वपूर्ण है (साधारण अंग्रेजी में)

NextGEN गैलरी का व्यापक रूप से उपयोग किया जाता है। समस्या इसलिए उत्पन्न होती है क्योंकि योगदानकर्ता द्वारा प्रदान किया गया मेटाडेटा स्टोर किया जाता है और बाद में थिकबॉक्स लाइटबॉक्स स्क्रिप्ट के लिए इनपुट के रूप में उपयोग किया जाता है। थिकबॉक्स सामग्री को इस तरह से संसाधित करता है कि यदि उस सामग्री को ठीक से एस्केप नहीं किया गया है तो यह गतिशील HTML/JS को निष्पादित कर सकता है। एक योगदानकर्ता विशेषाधिकार वाला हमलावर गैलरी फ़ील्ड में स्थायी पेलोड इंजेक्ट कर सकता है; जब एक उच्च-विशिष्ट उपयोगकर्ता या कोई भी आगंतुक कमजोर प्रदर्शन को ट्रिगर करता है, तो पेलोड उनके ब्राउज़र में निष्पादित होता है।.

परिणाम: सत्र चोरी, खाता अधिग्रहण, स्थायी स्पैम या पुनर्निर्देशन, क्लाइंट-साइड मैलवेयर, या साइट की सामग्री को बदलने के लिए प्रशासक सत्रों का दुरुपयोग। सहयोगी हांगकांग साइटों या क्षेत्रीय सामुदायिक पोर्टलों पर जहां योगदानकर्ता सामान्य हैं, यह एक वास्तविक खतरा है।.

तकनीकी सारांश

  • भेद्यता प्रकार: स्टोर किया गया DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS)
  • प्रभावित सॉफ़्टवेयर: वर्डप्रेस के लिए NextGEN गैलरी प्लगइन
  • प्रभावित संस्करण: <= 3.59.11
  • में ठीक किया गया: 3.59.12
  • CVE: CVE‑2025‑2537
  • आवश्यक विशेषाधिकार: योगदानकर्ता (प्रमाणित)
  • CVSS (सूचनात्मक): 6.5 (उपयोगकर्ता इंटरैक्शन की आवश्यकता)

यह कैसे काम करता है (सैद्धांतिक रूप से)

  • एक योगदानकर्ता गैलरी मेटाडेटा (शीर्षक, विवरण, लिंक फ़ील्ड) जोड़/संपादित कर सकता है।.
  • प्लगइन उस मेटाडेटा को डेटाबेस में स्टोर करता है।.
  • जब गैलरी को प्रस्तुत किया जाता है, तो प्लगइन या थिकबॉक्स कोड स्टोर किए गए डेटा का उपयोग करके DOM फ़्रैगमेंट या विशेषताएँ बनाता है बिना पर्याप्त संदर्भ-सचेत एस्केपिंग के।.
  • जब एक आगंतुक या प्रशासक गैलरी UI के साथ इंटरैक्ट करता है, तो थिकबॉक्स फ़्रैगमेंट को संसाधित करता है और ब्राउज़र हमलावर द्वारा प्रदान किए गए HTML/JS को निष्पादित कर सकता है — जिससे यह एक स्थायी, DOM-आधारित स्टोर किया गया XSS बन जाता है।.

नोट: DOM-आधारित XSS आमतौर पर innerHTML, document.write, या इवेंट हैंडलर्स के साथ HTML स्ट्रिंग बनाने जैसी APIs को शामिल करता है। 3.59.12 सुधार असुरक्षित क्लाइंट-साइड उपयोग को संबोधित करता है और/या इंजेक्शन से पहले मानों को साफ करता है।.

यथार्थवादी हमले के परिदृश्य

  1. योगदानकर्ताओं के साथ छोटा संपादकीय साइट
    एक योगदानकर्ता चित्र अपलोड करता है और एक तैयार की गई गैलरी कैप्शन सेट करता है। एक संपादक या प्रशासक बाद में गैलरी को देखता है या पूर्वावलोकन करता है; इंजेक्ट किया गया स्क्रिप्ट निष्पादित होता है और सत्र कुकीज़ चुरा लेता है या परिवर्तनों के लिए प्रशासक के सत्र का उपयोग करता है।.
  2. सदस्यता या सामुदायिक साइट
    हमलावर लॉग-इन सदस्यों को लक्षित करने वाले स्थायी स्क्रिप्ट के साथ गैलरी बनाते हैं। जब सदस्य गैलरी देखते हैं, तो ब्राउज़र ऐसे पेलोड निष्पादित करते हैं जो क्रेडेंशियल चुराते हैं या अवांछित क्रियाएँ करते हैं।.
  3. सार्वजनिक प्रस्तुतियाँ
    बाहरी प्रस्तुतियों को स्वीकार करने वाली साइटें आकर्षक लक्ष्य होती हैं: योगदानकर्ता मीडिया अपलोड करते हैं और मेटाडेटा तैयार करते हैं ताकि पेलोड स्थायी हो जाए जो आगंतुकों के लाइटबॉक्स खोलने पर सक्रिय हो।.

“केवल योगदानकर्ता” की आवश्यकता होने पर, यह उच्च जोखिम बन जाता है जब विशेषाधिकार प्राप्त उपयोगकर्ता सामग्री के साथ इंटरैक्ट करते हैं - सहयोगात्मक प्लेटफार्मों पर एक सामान्य पैटर्न।.

साइट मालिकों के लिए तात्कालिक कार्रवाई (प्राथमिकता के अनुसार)

  1. NextGEN गैलरी को संस्करण 3.59.12 (या बाद में) में अपडेट करें - यदि आप कर सकते हैं तो अभी करें। यह सबसे महत्वपूर्ण कदम है।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते:
    • अस्थायी रूप से NextGEN गैलरी को निष्क्रिय करें।.
    • या यदि प्लगइन वह कॉन्फ़िगरेशन प्रदान करता है तो ThickBox सुविधाओं को अक्षम करें।.
  3. योगदानकर्ता क्षमताओं को सीमित करें:
    • पैच होने तक योगदानकर्ताओं को फ़ाइलें अपलोड करने से रोकें।.
    • यह सीमित करें कि कौन गैलरी बना या संपादित कर सकता है।.
    • अविश्वसनीय उपयोगकर्ताओं से योगदानकर्ता भूमिका अस्थायी रूप से वापस लें।.
  4. जहां संभव हो, अपने वेब एप्लिकेशन फ़ायरवॉल (WAF) के माध्यम से आभासी पैच लागू करें - नीचे WAF मार्गदर्शन देखें।.
  5. अपने डेटाबेस को इंजेक्ट किए गए स्क्रिप्ट के लिए स्कैन करें और किसी भी दुर्भावनापूर्ण प्रविष्टियों को साफ करें (पता लगाने के अनुभाग को देखें)।.
  6. यदि आप पुष्टि की गई शोषण पाते हैं तो उच्च-विशेषाधिकार वाले खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें।.

WAF इसे तुरंत कैसे कम कर सकता है

एक WAF (वेब एप्लिकेशन फ़ायरवॉल) आपको अपडेट करते समय आभासी पैचिंग प्रदान कर सकता है। सामान्य, अच्छी तरह से परीक्षण किए गए नियमों का उपयोग करें और ब्लॉक करने से पहले निगरानी मोड में परीक्षण करें ताकि झूठे सकारात्मक से बचा जा सके।.

सुझाए गए नियम व्यवहार (सैद्धांतिक)

  • संदिग्ध सामग्री पैटर्न जैसे , javascript:, या inline-event विशेषताओं (onload=, onclick=) वाले गैलरी सहेजने के अंत बिंदुओं पर POST/PUT अनुरोधों को ब्लॉक करें।.
  • उन प्रशासनिक अनुरोधों को ब्लॉक करें जहां गैलरी मेटाडेटा फ़ील्ड में HTML टैग या inline इवेंट हैंडलर शामिल हैं।.
  • गैलरी बनाने वाले योगदानकर्ता खातों पर दर-सीमा लगाएं।.
  • अनुरोधों को ब्लॉक करें जो javascript: URIs या inline स्क्रिप्ट्स को इंजेक्ट करने का प्रयास कर रहे हैं।.
  • वैकल्पिक रूप से ThickBox-विशिष्ट आह्वान पैटर्न का पता लगाएं यदि वे अनुरोधों में दिखाई देते हैं (जैसे, TB_inline या TB_show फ़्रैगमेंट बनाने वाले अनुरोध जो अविश्वसनीय डेटा के साथ हैं)।.

महत्वपूर्ण: पहले निगरानी मोड में नियम लागू करें, ज्ञात-भले कार्यप्रवाहों के लिए सुरक्षित सूचियाँ बनाएं, और झूठे सकारात्मक को कम करने के लिए ट्यून करें।.

उदाहरण WAF नियम उदाहरण (प्रशासकों के लिए)

ये वैचारिक उदाहरण हैं - अपने WAF सिंटैक्स के अनुसार अनुकूलित करें और पूरी तरह से परीक्षण करें।.

WordPress प्रशासन POST ब्लॉकिंग नियम (pseudo‑WAF)

  • नाम: Block_NextGEN_XSS_Injection
  • ट्रिगर:
    • अनुरोध URI में /wp-admin/ या /admin-ajax.php शामिल है
    • और अनुरोध विधि POST है
    • और अनुरोध शरीर या कोई भी पैरामीटर संदिग्ध सामग्री के लिए regex से मेल खाता है
  • स्थिति (वैचारिक regex):
(?i)(<script\b|on\w+\s*=|javascript:|data:text/html|eval\(|<iframe\b|]*onerror)

क्रिया: ब्लॉक करें (HTTP 403), प्रयास को लॉग करें और साइट प्रशासक को सूचित करें। पूर्ण प्रवर्तन से पहले निगरानी मोड में परीक्षण करें।.

डेटाबेस खोज उदाहरण (पहले बैकअप पर केवल पढ़ने वाले प्रश्न चलाएं)

संग्रहीत पेलोड के लिए सामान्य स्थानों की खोज करें:

SELECT post_id, meta_key, meta_value;

SELECT ID, post_title, post_content FROM wp_posts WHERE post_content LIKE '%<script%' OR post_title LIKE '%<script%';

NextGEN कस्टम तालिकाएँ (आवश्यकतानुसार उपसर्ग बदलें):

SELECT * FROM wp_ngg_gallery WHERE gallerydesc LIKE '%<script%';

सुरक्षित कॉन्फ़िगरेशन और हार्डनिंग कदम

  1. न्यूनतम विशेषाधिकार — केवल तब योगदानकर्ता को अनुमति दें जब यह आवश्यक हो; संपादकों द्वारा सामग्री प्रकाशित करने के लिए सबमिशन वर्कफ़्लो को प्राथमिकता दें।.
  2. इनपुट को साफ़ करें और फ़िल्टर करें — प्लगइन फ़ील्ड के लिए वर्डप्रेस सैनिटाइज़र और संदर्भ-सचेत एस्केपिंग (esc_html, esc_attr, wp_kses_post, wp_kses) का उपयोग करें।.
  3. फ़ाइल अपलोड को प्रतिबंधित करें — फ़ाइल प्रकार और संग्रहण को सीमित करें; नियंत्रित एंडपॉइंट्स के माध्यम से अपलोड सेवा देने पर विचार करें।.
  4. पुराने पुस्तकालयों को हटा दें या बदलें — यदि ThickBox का उपयोग नहीं किया जा रहा है, तो इसे हटा दें या एक बनाए रखा जाने वाला लाइटबॉक्स पुस्तकालय से बदलें।.
  5. सामग्री सुरक्षा नीति (CSP) — एक प्रतिबंधात्मक CSP पर विचार करें जो इनलाइन स्क्रिप्ट्स की अनुमति नहीं देता। उदाहरण प्रारंभिक हेडर (गंभीरता से परीक्षण करें):
13. 6. समझौते के लिए स्कैन करें;
  1. भूमिका द्वारा अनफ़िल्टर्ड HTML को रोकें — सुनिश्चित करें कि योगदानकर्ताओं द्वारा संपादित किए जाने वाले प्लगइन फ़ील्ड सर्वर-साइड पर साफ़ किए गए हैं।.
  2. स्वचालित अपडेट — व्यावहारिक होने पर महत्वपूर्ण सुरक्षा रिलीज़ के लिए स्वचालित अपडेट सक्षम करें, या एक त्वरित अपडेट प्रक्रिया बनाए रखें।.

पहचान: समझौते के संकेतों की तलाश कैसे करें

  1. संदिग्ध स्ट्रिंग्स के लिए डेटाबेस की खोज करें: <script, javascript:, onload=, onerror=, data:text/html पोस्ट, पोस्टमेटा और प्लगइन तालिकाओं (ngg_*).
  2. हाल ही में संशोधित प्लगइन डेटा की जांच करें और निरीक्षण के लिए गैलरी रिकॉर्ड निर्यात करें।.
  3. योगदानकर्ता खातों से असामान्य पेलोड वाले POST अनुरोधों के लिए एक्सेस/अनुप्रयोग लॉग की समीक्षा करें।.
  4. अज्ञात सत्रों या अजीब घंटों में लॉगिन के लिए व्यवस्थापक सत्रों और लॉगिन इतिहास की जांच करें।.
  5. WP फ़ाइलों और अपलोड निर्देशिका में दुर्भावनापूर्ण फ़ाइलों और बैकडोर के लिए स्कैन करें।.
  6. एक साफ़ ब्राउज़र में गैलरी पृष्ठों पर जाएं, पृष्ठ स्रोत देखें और उन इनलाइन स्क्रिप्ट्स की जांच करें जो थीम/प्लगइन कोड का हिस्सा नहीं हैं।.

यदि दुर्भावनापूर्ण प्रविष्टियाँ मौजूद हैं, तो साइट को अलग करें (रखरखाव मोड), सबूत (लॉग और DB) निर्यात करें, फिर नीचे बताए अनुसार सफाई करें।.

घटना प्रतिक्रिया और सफाई चेकलिस्ट

  1. साइट को रखरखाव मोड में डालें।.
  2. एक पूर्ण बैकअप (फाइलें + DB) लें और इसे फॉरेंसिक्स के लिए ऑफ़लाइन स्टोर करें।.
  3. NextGEN गैलरी को 3.59.12 में अपडेट करें (यदि अभी तक अपडेट नहीं किया गया है)।.
  4. डेटाबेस से दुर्भावनापूर्ण प्रविष्टियाँ हटाएँ या ज्ञात-साफ़ बैकअप से पुनर्स्थापित करें।.
  5. प्रशासक और संपादक पासवर्ड को घुमाएँ; प्रशासक उपयोगकर्ताओं के लिए 2FA की आवश्यकता करें।.
  6. अज्ञात या संदिग्ध उपयोगकर्ता खातों की समीक्षा करें और उन्हें हटाएँ।.
  7. सभी प्लगइन्स और थीम को अपडेट करें; एक पूर्ण मैलवेयर स्कैन चलाएँ और पाए गए किसी भी बैकडोर को हटा दें।.
  8. कैश और CDN एज कैश को साफ़ करें।.
  9. लॉग की निगरानी करें और नेटवर्क या होस्ट फ़ायरवॉल स्तर पर आपत्तिजनक IP को ब्लॉक करें।.
  10. यदि नीति या कानून द्वारा आवश्यक हो, तो हितधारकों और प्रभावित उपयोगकर्ताओं को सूचित करें।.

यदि सुरक्षित सफाई के बारे में अनिश्चित हैं, तो एक पेशेवर घटना प्रतिक्रिया टीम को शामिल करें। अधूरी सफाई बैकडोर छोड़ सकती है और पुनः संक्रमण का कारण बन सकती है।.

डेवलपर मार्गदर्शन: कोडिंग सुधार और सर्वोत्तम प्रथाएँ

  • डेटा को सर्वर-साइड पर मान्य करें; कभी भी क्लाइंट इनपुट पर भरोसा न करें।.
  • संदर्भ-सचेत एस्केपिंग का उपयोग करें:
    • esc_html() HTML सामग्री के लिए
    • esc_attr() गुण मानों के लिए
    • esc_url() URLs के लिए
  • अविश्वसनीय स्ट्रिंग्स का उपयोग करके innerHTML के साथ DOM नोड्स बनाने से बचें। textContent या createTextNode को प्राथमिकता दें।.
  • उन टेम्पलेट्स के लिए जो HTML स्वीकार करते हैं, wp_kses() का उपयोग करें जिसमें सुरक्षित टैग/विशेषताओं की एक सख्त अनुमति सूची हो।.
  • तीसरे पक्ष की क्लाइंट लाइब्रेरी (जैसे, विरासती लाइटबॉक्स) की समीक्षा करें ताकि यह समझ सकें कि वे विशेषताओं और सामग्री को कैसे संभालते हैं; उन्हें स्ट्रिंग्स सौंपने से पहले साफ़ करें।.

व्यावहारिक उदाहरण: योगदानकर्ता विशेषाधिकारों को सीमित करना (कोड स्निपेट)

साइट-विशिष्ट प्लगइन या mu-plugin में निम्नलिखित जोड़ें ताकि Contributors से अपलोड क्षमता हटा सकें (पहले स्टेजिंग में परीक्षण करें):

// साइट-विशिष्ट प्लगइन या mu-plugin में जोड़ें;

दीर्घकालिक रोकथाम: प्रक्रियाएँ और निगरानी

  • प्लगइन्स और थीम को अपडेट रखें; अपने स्थापित प्लगइन्स के लिए कमजोरियों की चेतावनियों की सदस्यता लें।.
  • न्यूनतम विशेषाधिकार और सामग्री अनुमोदन कार्यप्रवाह लागू करें।.
  • बार-बार बैकअप बनाए रखें और एक परीक्षण किया हुआ पुनर्स्थापन योजना रखें।.
  • कस्टम कोड और प्लगइन्स के नियमित सुरक्षा ऑडिट करें।.
  • केंद्रीकृत लॉगिंग बनाए रखें और असामान्य गतिविधियों की निगरानी करें।.
  • [ ] अब NextGEN Gallery को 3.59.12 में अपडेट करें।.
  • [ ] यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्लगइन को निष्क्रिय करें या योगदानकर्ता अपलोड को अक्षम करें।.
  • [ ] सुरक्षात्मक WAF नियम लागू करें (गैलरी सहेजने के अंत बिंदुओं पर संदिग्ध पेलोड को ब्लॉक करें), पहले निगरानी मोड में परीक्षण करें।.
  • [ ] स्क्रिप्ट टैग और अन्य संदिग्ध सामग्री के लिए DB तालिकाओं (पोस्ट, पोस्टमेटा, ngg_* तालिकाएँ) को स्कैन करें।.
  • [ ] दुर्भावनापूर्ण प्रविष्टियों को हटा दें या संक्रमित होने पर एक साफ बैकअप से पुनर्स्थापित करें।.
  • [ ] व्यवस्थापक/संपादक खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें और 2FA सक्षम करें।.
  • [ ] सत्यापित सुरक्षित होने तक Contributor भूमिका की क्षमताओं को प्रतिबंधित करें।.
  • [ ] यदि आपके पास इन-हाउस क्षमता की कमी है तो एक प्रतिष्ठित सुरक्षा सलाहकार या घटना प्रतिक्रिया प्रदाता को शामिल करने पर विचार करें।.

हांगकांग के सुरक्षा विशेषज्ञ के अंतिम शब्द

यहां तक कि अच्छी तरह से बनाए रखे गए प्लगइन्स भी पुराने क्लाइंट-साइड लाइब्रेरी पर निर्भर कर सकते हैं जो डेटा को सही ढंग से एस्केप नहीं करते हैं। अच्छी खबर: सुधार उपलब्ध हैं (3.59.12)। पैचिंग को प्राथमिकता दें, योगदानकर्ता हमले की सतह को कम करें, और परतदार सुरक्षा का उपयोग करें - सुरक्षित कोड, न्यूनतम विशेषाधिकार, निगरानी, और परीक्षण किए गए घटना प्रतिक्रिया प्रक्रियाएँ। यदि आपको पहचान नियम लागू करने, संग्रहीत पेलोड के लिए स्कैन करने, या सुरक्षित सफाई करने में सहायता की आवश्यकता है, तो एक विश्वसनीय सुरक्षा पेशेवर से अनुबंध करें जो हाथों-पर सुधार और फोरेंसिक कर सके।.

संदर्भ और आगे की पढ़ाई

  • CVE‑2025‑2537 — CVE रिकॉर्ड
  • NextGEN Gallery प्लगइन — 3.59.12 में अपडेट करें (प्लगइन चेंज लॉग और रिलीज नोट्स की जांच करें)
  • आधुनिक ब्राउज़रों में क्रॉस-साइट स्क्रिप्टिंग (XSS) और सामग्री सुरक्षा नीति (CSP) मार्गदर्शन

अनुकूलित शमन या घटना प्रतिक्रिया के लिए, एक योग्य सुरक्षा सलाहकार से संपर्क करें। यह सलाह एक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से प्रदान की गई है और इसका उद्देश्य प्रशासकों और डेवलपर्स को CVE‑2025‑2537 से जोखिम का तेजी से आकलन और शमन करने में मदद करना है।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

सामुदायिक सलाह XSS यूट्यूब एम्बेड में(CVE20252537)

अगला लेख —

हांगकांग साइबर अलर्ट बटन प्लगइन XSS(CVE20240711)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा अलर्ट वर्डप्रेस SSO एक्सपोजर (CVE202510648)

  • अक्टूबर 15, 2025
वर्डप्रेस लॉगिन विद योरमेंबरशिप - YM SSO लॉगिन प्लगइन <= 1.1.7 - 'moym_display_test_attributes' भेद्यता के माध्यम से अनधिकृत संवेदनशील जानकारी के एक्सपोजर के लिए अनुमोदन की कमी
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह ग्रेविटी फॉर्म्स दोष(CVE202512352)

  • नवम्बर 7, 2025
वर्डप्रेस ग्रेविटी फॉर्म्स प्लगइन <= 2.9.20 - बिना प्रमाणीकरण के मनमाना फ़ाइल अपलोड 'copy_post_image' भेद्यता के माध्यम से