Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाहकार वूकॉमर्स हटाने की खामी (CVE202513930)

वर्डप्रेस वू-कॉमर्स चेकआउट प्रबंधक प्लगइन में मनमाना सामग्री हटाना
0
शेयर
0
0
0
0






Urgent Security Advisory: CVE-2025-13930 — Arbitrary Attachment Deletion in WooCommerce Checkout Manager (<= 7.8.5)


प्लगइन का नाम WooCommerce चेकआउट प्रबंधक
कमजोरियों का प्रकार सामग्री हटाना
CVE संख्या CVE-2025-13930
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2026-02-21
स्रोत URL CVE-2025-13930

तत्काल सुरक्षा सलाह: CVE-2025-13930 — WooCommerce चेकआउट प्रबंधक में मनमाने अटैचमेंट हटाने<= 7.8.5)

लेखक: हांगकांग सुरक्षा विशेषज्ञ

सारांश: WooCommerce चेकआउट प्रबंधक प्लगइन (जिसे चेकआउट फ़ील्ड प्रबंधक के रूप में भी जाना जाता है) के संस्करण 7.8.5 तक में एक उच्च-गंभीर सुरक्षा दोष (CVE-2025-13930) अनधिकृत अभिनेताओं को एक कमजोर साइट पर अटैचमेंट हटाने की अनुमति देता है। यह सलाह जोखिम, तकनीकी मूल कारण, पहचान और शमन कदम, घटना प्रतिक्रिया क्रियाएँ, आभासी पैच विकल्प, और मजबूत करने के दिशा-निर्देशों को सीधे, व्यावहारिक हांगकांग सुरक्षा विशेषज्ञ की आवाज़ में समझाती है।.

सामग्री की तालिका

अवलोकन: क्या हुआ और यह क्यों महत्वपूर्ण है

19 फरवरी 2026 को WooCommerce चेकआउट प्रबंधक प्लगइन (≤ 7.8.5) में एक गायब प्राधिकरण कमजोरी का खुलासा किया गया और इसे CVE-2025-13930 सौंपा गया। इस मुद्दे ने अनधिकृत अनुरोधों को एक अटैचमेंट-हटाने की प्रक्रिया तक पहुँचने की अनुमति दी, जिसमें उचित क्षमता और नॉनस जांच की कमी थी। सीधे शब्दों में: एक हमलावर बिना किसी लॉगिन के मीडिया लाइब्रेरी आइटम (छवियाँ, PDFs, अटैचमेंट) को हटाने को प्रेरित कर सकता था — जिससे सामग्री का नुकसान, टूटे हुए उत्पाद पृष्ठ, ग्राहक विश्वास का नुकसान और ई-कॉमर्स स्टोर के लिए संभावित व्यावसायिक व्यवधान हो सकता है।.

अटैचमेंट WooCommerce स्टोरफ्रंट (उत्पाद छवियाँ, डाउनलोड करने योग्य फ़ाइलें, चालान) के लिए केंद्रीय हैं। प्लगइन लेखक ने संस्करण 7.8.6 में इस मुद्दे को ठीक किया। तुरंत अपडेट करें। तब तक, स्तरित शमन लागू करें: WAF पर आभासी पैचिंग, कॉन्फ़िगरेशन परिवर्तन, और निगरानी।.

भेद्यता का तकनीकी सारांश

यह एक टूटी हुई पहुँच नियंत्रण समस्या है: एक अनधिकृत HTTP अनुरोध उस कार्यक्षमता को सक्रिय कर सकता है जो अटैचमेंट हटाती है। सामान्य मूल कारण:

  • एक एंडपॉइंट या AJAX/REST हैंडलर जो एक प्राधिकृत वातावरण की अपेक्षा करता है लेकिन प्राधिकरण या क्षमता के लिए स्पष्ट रूप से जांच नहीं करता (कोई current_user_can या check_admin_referer नहीं)।.
  • डेटा बदलने वाले अनुरोधों पर गायब या गलत तरीके से मान्य नॉनस।.
  • हटाने की प्रक्रिया अविश्वसनीय पहचानकर्ताओं (अटैचमेंट आईडी) को स्वीकार करती है और वर्डप्रेस हटाने की प्रक्रियाओं को कॉल करती है।.

सामान्य शोषण श्रृंखला:

  1. एक सार्वजनिक एंडपॉइंट एक अटैचमेंट पहचानकर्ता (ID) स्वीकार करता है।.
  2. हैंडलर wp_delete_attachment या wp_delete_post को बिना अनुरोधकर्ता के लिए अनुमतियों की पुष्टि किए बिना कॉल करता है।.
  3. चूंकि कोई प्राधिकरण या नॉनस जांच नहीं है, जो कोई भी एंडपॉइंट तक पहुँच सकता है वह किसी भी अटैचमेंट ID के लिए हटाने का अनुरोध कर सकता है।.

CVSS वेक्टर (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) दूरस्थ, बिना प्रमाणीकरण के शोषण की संभावना को दर्शाता है जिसमें उपलब्धता/सामग्री पर प्रभाव होता है (संलग्नक हटाए गए)। विक्रेता पैच संस्करण 7.8.6 में है — तुरंत अपडेट करें।.

संभावित प्रभाव और संभावित हमलावर परिदृश्य

स्टोर मालिकों के लिए वास्तविक जोखिम:

  • सामग्री हानि: उत्पाद फोटो, बैनर, डाउनलोड करने योग्य सामान, चालान।.
  • राजस्व प्रभाव: गायब चित्र या डाउनलोड खरीद या सामान की डिलीवरी को रोक सकते हैं।.
  • प्रतिष्ठा को नुकसान: टूटे हुए उत्पाद पृष्ठ और गायब संपत्तियाँ ग्राहक विश्वास को कम करती हैं।.
  • परिचालन लागत: बैकअप से पुनर्स्थापना, संपत्तियों को फिर से अपलोड करना, पीक घंटों के दौरान व्यवसाय में व्यवधान।.
  • प्रचार या बिक्री के दौरान लक्षित व्यवधान या जबरन वसूली।.
  • श्रृंखला प्रतिक्रिया: हटाने से प्रशासकों का ध्यान भटक सकता है जबकि हमलावर प्रमाणीकरण चोरी या मैलवेयर का पीछा करते हैं।.
  • गायब पृष्ठों और चित्रों से SEO में गिरावट।.

सामान्य हमले के पैटर्न:

  • सामूहिक हटाना: अधिकतम व्यवधान उत्पन्न करने के लिए कई संलग्नकों को स्कैन और बल्क-हटाना।.
  • लक्षित हटाना: रूपांतरण को कम करने के लिए उच्च-मूल्य वाले उत्पाद चित्रों को हटाना।.
  • अनुसूचित हटाना: हमलों को प्रचार या पीक ट्रैफिक के साथ मेल खाने के लिए समयबद्ध करना।.

कैसे पता करें कि क्या आप लक्षित या समझौता किए गए हैं

पहचान सर्वर लॉग और वर्डप्रेस आंतरिक पर निर्भर करती है। यदि आप लॉग बनाए रखते हैं (वेब सर्वर, WAF, PHP, वर्डप्रेस), तो देखें:

1. वेब सर्वर और WAF लॉग

  • प्रकटीकरण समय सीमा के आसपास प्लगइन-संबंधित पथों पर संख्या संबंधी पैरामीटर के साथ POST/GET अनुरोध (जैसे, id=1234 या attachment_id=1234)।.
  • हटाने-जैसे एंडपॉइंट्स को लक्षित करने वाले एकल IP पते से उच्च मात्रा में अनुरोध।.
  • वैध प्रमाणीकरण कुकीज़ के बिना बाहरी IP से AJAX या REST एंडपॉइंट्स के लिए अनुरोध।.

2. वर्डप्रेस लॉग और डेटाबेस साक्ष्य

  • wp_posts में गायब अटैचमेंट के लिए निरीक्षण करें (post_type = ‘attachment’)।.
  • संबंधित विंडो के दौरान ट्रैश/हटाए गए रिकॉर्ड के लिए देखें और टाइमस्टैम्प (post_date, post_modified) की तुलना करें।.
  • अनाथ मेटाडेटा (_wp_attached_file गायब) के लिए wp_postmeta की जांच करें।.

हाल के अटैचमेंट की सूची के लिए उदाहरण DB क्वेरी (तारीख की सीमा समायोजित करें):

SELECT ID, post_title, post_name, post_date, post_status;

फ़ाइल सिस्टम (wp-content/uploads) की DB प्रविष्टियों के साथ तुलना करें; विसंगतियाँ वर्तमान फोरेंसिक स्थिति को इंगित करती हैं।.

3. मीडिया लाइब्रेरी

  • गायब आइटम या ट्रैश किए गए आइटम के लिए मीडिया लाइब्रेरी की समीक्षा करें।.
  • उत्पाद पृष्ठों पर गायब थंबनेल या छवियों पर 404 की जांच करें।.

4. अन्य संकेतक

  • वेब लॉग में बढ़ी हुई 403/404 स्पाइक्स।.
  • अप्रत्याशित व्यवस्थापक उपयोगकर्ता निर्माण या संदिग्ध लॉगिन प्रयास।.
  • wp-content/uploads या प्लगइन/थीम निर्देशिकाओं में नए PHP फ़ाइलें (संभावित फॉलो-ऑन गतिविधि)।.

यदि आप संदिग्ध हटाने की घटनाएँ पाते हैं, तो लॉग और स्नैपशॉट को सुरक्षित रखें। फोरेंसिक्स के लिए बैकअप या स्नैपशॉट लेने तक अपरिवर्तनीय परिवर्तन करने से बचें; साथ ही, आगे के हटाने को रोकने के लिए उपाय लागू करें (तत्काल क्रियाएँ देखें)।.

साइट मालिकों के लिए तात्कालिक कार्रवाई (प्राथमिकता दी गई)

यदि आप WooCommerce Checkout Manager (≤ 7.8.5) का उपयोग करके एक WordPress साइट चलाते हैं, तो अब इस योजना का पालन करें:

  1. पैच करें: तुरंत प्लगइन को संस्करण 7.8.6 या बाद में अपडेट करें — यह निश्चित समाधान है।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते:
    • कमजोर कोड के चलने से रोकने के लिए प्लगइन को निष्क्रिय करें।.
    • यदि निष्क्रियता आवश्यक कार्यक्षमता को तोड़ती है, तो न्यूनतम कमजोर एंडपॉइंट को WAF या वेब सर्वर नियमों के माध्यम से ब्लॉक करें।.
  3. वर्चुअल पैच / ब्लॉक: प्लगइन के हटाने के एंडपॉइंट तक अनधिकृत पहुंच को ब्लॉक करने के लिए WAF या वेब सर्वर स्तर पर नियम लागू करें (नीचे उदाहरण)।.
  4. बैकअप: तुरंत पुनर्प्राप्ति और फोरेंसिक्स के लिए एक पूर्ण बैकअप (डेटाबेस + फ़ाइल सिस्टम) बनाएं।.
  5. जांचें और पुनर्स्थापित करें: बैकअप की वर्तमान स्थिति की तुलना करें; यदि आवश्यक हो तो गायब अटैचमेंट पुनर्स्थापित करें।.
  6. थ्रॉटल और ब्लॉक करें: संदिग्ध आईपी को दर-सीमा या ब्लॉक करें, लेकिन वैध ट्रैफ़िक को ब्लॉक करने से बचें।.
  7. क्रेडेंशियल्स को घुमाएं: यदि हटाने के अलावा समझौता होने का संदेह है, तो व्यवस्थापक पासवर्ड और एपीआई कुंजी बदलें; मजबूत पासवर्ड और 2FA लागू करें।.
  8. हितधारकों को सूचित करें: आंतरिक टीमों को सूचित करें और यदि ग्राहक-दृश्यमान संपत्तियाँ हटा दी गई हैं तो ग्राहक-सामना करने वाले संदेश तैयार करें।.

आभासी पैचिंग: WAF नियम और सुरक्षित फ़िल्टर (उदाहरण)

वर्चुअल पैचिंग सबसे तेज़ तरीका है शोषण को ब्लॉक करने का जबकि आप अपडेट कर रहे हैं। नीचे सामान्य पैटर्न हैं - पहले स्टेजिंग में अनुकूलित और परीक्षण करें।.

मुख्य विचार: जब हटाने-जैसे पैरामीटर मौजूद हों तो प्लगइन-विशिष्ट हटाने के अंत बिंदुओं पर अनधिकृत अनुरोधों को ब्लॉक करें।.

वैचारिक पहचान हस्ताक्षर

  • उन अनुरोधों को ब्लॉक करें जो प्लगइन पथ (प्लगइन स्लग या URI में “चेकआउट”) को लक्षित करते हैं जो हटाने के पैरामीटर (attachment_id, id, delete_attachment, action=delete_attachment) शामिल करते हैं।.
  • सुनिश्चित करें कि नियम वैध वर्डप्रेस लॉगिन कुकी या वैध नॉनस की अनुपस्थिति की जांच करता है।.

उदाहरण ModSecurity-शैली का नियम (वैचारिक)

# प्लगइन अंत बिंदु पर अनधिकृत अटैचमेंट-हटाने के प्रयासों को ब्लॉक करें"

नोट: कुकी नाम या नॉनस जांच को अपने वातावरण के अनुसार अनुकूलित करें। यदि प्लगइन एक विशिष्ट REST मार्ग या व्यवस्थापक-एजेक्स क्रिया का उपयोग करता है, तो नियम को उस सटीक पथ पर परिष्कृत करें।.

उदाहरण nginx स्निपेट (वैचारिक)

# यदि कोई वर्डप्रेस लॉगिन कुकी नहीं है तो प्लगइन हटाने के अंत बिंदु पर अनुरोधों को ब्लॉक करें

दर सीमित करना और व्यवहार ब्लॉक करना

  • प्लगइन पथ पर POST अनुरोधों को दर-सीमा (उदाहरण के लिए, प्रति आईपी 20 प्रति मिनट) करें।.
  • कई हटाने-जैसे प्रयास करने वाले आईपी को अस्थायी रूप से ब्लॉक करें।.

प्रशासन-एजेएक्स और REST हैंडलिंग को कड़ा करें

यदि प्लगइन admin-ajax.php या REST रूट का उपयोग करता है, तो प्लगइन क्रियाओं से मेल खाने वाले और मान्य नॉनसेस की कमी वाले बाहरी POST को प्रतिबंधित करें। अस्वीकृत अनुरोधों के लिए अलर्ट बनाएं ताकि प्रशासक जांच कर सकें।.

चेतावनी: ये उदाहरण वैचारिक हैं। सिंटैक्स को समायोजित करें और स्टेजिंग में परीक्षण करें। यदि आप एक प्रबंधित होस्टिंग प्रदाता का उपयोग करते हैं, तो अनुरोध करें कि वे असत्यापित पहुंच को प्लगइन हटाने की लॉजिक को अवरुद्ध करने के लिए एक अस्थायी नियम लागू करें जब तक कि आप पैच नहीं कर सकते।.

शॉर्ट कोड पैच: प्लगइन हैंडलर्स में प्राधिकरण को लागू करें

यदि आप अपडेट नहीं कर सकते लेकिन आपके पास विकास संसाधन हैं, तो एक अनिवार्य उपयोग (MU) प्लगइन लागू करें जो कमजोर हैंडलर को रोकता है ताकि प्राधिकरण को लागू किया जा सके। दृष्टिकोण यह है कि कार्रवाई की अनुमति देने से पहले उपयोगकर्ता लॉगिन और हटाने की क्षमता की पुष्टि करें।.

<?php
/**
 * MU plugin: temporary authorization guard for attachment deletion
 * Place under wp-content/mu-plugins/stop-attachment-deletion.php
 */

add_action( 'init', function() {
    // If plugin uses REST API route, intercept with rest_pre_dispatch.
    add_filter( 'rest_pre_dispatch', function( $response, $server, $request ) {
        $route = $request->get_route();
        // Adjust this route string to match the plugin's deletion route if known.
        if ( false !== strpos( $route, '/checkout-manager' ) && $request->get_method() === 'POST' ) {
            // Require logged-in user
            if ( ! is_user_logged_in() ) {
                return new WP_Error( 'forbidden', 'Authentication required.', array( 'status' => 403 ) );
            }
            // Require capability to delete attachments
            $attachment_id = isset( $request['attachment_id'] ) ? intval( $request['attachment_id'] ) : 0;
            if ( $attachment_id && ! current_user_can( 'delete_post', $attachment_id ) ) {
                return new WP_Error( 'forbidden', 'Insufficient privileges.', array( 'status' => 403 ) );
            }
        }
        return $response;
    }, 10, 3 );
});

नोट्स: रूट मिलान को प्लगइन के वास्तविक रूट के अनुसार समायोजित करें। स्टेजिंग पर परीक्षण करें और उत्पादन में तैनाती से पहले बैकअप रखें।.

घटना प्रतिक्रिया: यदि आप पहले से ही प्रभावित हो चुके हैं

यदि आप पुष्टि करते हैं कि अटैचमेंट हटाए गए हैं, तो तुरंत इन चरणों का पालन करें:

  1. सबूत को संरक्षित करें: सर्वर फ़ाइलों और DB का स्नैपशॉट लें; विश्लेषण के लिए वेब सर्वर और WAF लॉग को एक अलग स्थान पर निर्यात करें।.
  2. अलग करें और नियंत्रित करें: हमलावर IP को ब्लॉक करें और आगे के हटाने को रोकने के लिए WAF नियम लागू करें। स्नैपशॉट लेने के बाद साइट को रखरखाव मोड में डालने पर विचार करें।.
  3. दायरे का आकलन करें: पहचानें कि क्या हटाया गया था और अतिरिक्त संदिग्ध परिवर्तनों (नए प्रशासक उपयोगकर्ता, अपलोड किए गए PHP फ़ाइलें) के लिए खोजें।.
  4. पुनर्स्थापित करें: नवीनतम ज्ञात-ठीक बैकअप से गायब अटैचमेंट को पुनर्स्थापित करें और आवश्यकतानुसार मीडिया को फिर से लिंक करें।.
  5. विश्वास को फिर से बनाएं: ग्राहकों को सूचित करें यदि डाउनलोड प्रभावित हुए हैं और यदि आवश्यक हो तो लेनदेन पृष्ठों को अपडेट करें।.
  6. सुधार करें और मजबूत करें: प्लगइन को 7.8.6 में अपडेट करें, WAF नियम लागू करें और सभी साइटों के पैच होने तक MU-प्लगइन गार्ड का उपयोग करें।.
  7. घटना के बाद की समीक्षा: सीखे गए पाठों का दस्तावेजीकरण करें और प्रक्रियाओं को अपडेट करें (स्वचालित प्लगइन अपडेट, बेहतर निगरानी, पुनर्स्थापना अभ्यास)।.

दीर्घकालिक डेवलपर और साइट-स्वामी सुरक्षा सर्वोत्तम प्रथाएँ

प्लगइन डेवलपर्स के लिए सिफारिशें:

  • हमेशा स्थिति-परिवर्तन करने वाले एंडपॉइंट्स पर प्राधिकरण को मान्य करें: current_user_can का उपयोग करें, check_admin_referer, और wp_verify_nonce जहां उपयुक्त हो।.
  • REST एंडपॉइंट्स के लिए, रूट पंजीकरण करते समय एक permission_callback प्रदान करें।.
  • न्यूनतम विशेषाधिकार का उपयोग करें: कार्रवाई के लिए आवश्यक न्यूनतम क्षमता की आवश्यकता करें।.
  • इनपुट्स को मान्य करें (सुनिश्चित करें कि आईडी पूर्णांक हैं और अपेक्षित पोस्ट प्रकारों से मेल खाती हैं)।.
  • विनाशकारी क्रियाओं के लिए एक ऑडिट लॉग रखें (अनुरोधकर्ता की पहचान, आईपी, समय मुहर)।.
  • संवेदनशील संचालन के लिए दर सीमित करने और विस्तृत लॉगिंग को लागू करें।.

साइट के मालिकों और प्रशासकों के लिए सिफारिशें:

  • वर्डप्रेस कोर, थीम और प्लगइन्स को अद्यतित रखें; सुरक्षा पैच को तुरंत लागू करें।.
  • नियमित, परीक्षण किए गए बैकअप बनाए रखें और समय-समय पर पुनर्स्थापना का अभ्यास करें।.
  • एक्सपोज़र विंडोज़ को कम करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या होस्ट-स्तरीय सुरक्षा का उपयोग करें।.
  • वर्डप्रेस को मजबूत करें: प्रशासनिक खातों की संख्या सीमित करें, 2FA लागू करें, मजबूत पासवर्ड का उपयोग करें और फ़ाइल अनुमतियों को प्रतिबंधित करें।.
  • लॉग की निगरानी करें और असामान्य हटाने की घटनाओं या सामूहिक API कॉल के लिए अलर्ट सेट करें।.
  • केवल प्रतिष्ठित स्रोतों से प्लगइन्स स्थापित करें और संवेदनशील कार्यों को संभालने वाले प्लगइन्स के लिए सुरक्षा इतिहास की समीक्षा करें।.

व्यावहारिक चेकलिस्ट: अब उठाने के लिए विशिष्ट कदम

  1. पहचानें कि क्या आपकी साइट WooCommerce चेकआउट प्रबंधक (या चेकआउट फ़ील्ड प्रबंधक संस्करण) का उपयोग करती है।.
  2. तुरंत प्लगइन को संस्करण 7.8.6 में अपडेट करें। यदि आप कई साइटों का प्रबंधन करते हैं तो ई-कॉमर्स स्टोर को प्राथमिकता दें।.
  3. यदि आप अपडेट नहीं कर सकते: प्लगइन को निष्क्रिय करें या प्लगइन एंडपॉइंट्स पर अनधिकृत अनुरोधों को ब्लॉक करने के लिए एक WAF नियम लागू करें।.
  4. तुरंत एक पूर्ण बैकअप लें (फाइलें + DB)।.
  5. संदिग्ध अटैचमेंट-हटाने के प्रयासों के लिए लॉग स्कैन करें और फोरेंसिक्स के लिए लॉग को संरक्षित करें।.
  6. बैकअप से किसी भी गायब अटैचमेंट को पुनर्स्थापित करें।.
  7. प्रशासनिक क्रेडेंशियल्स को घुमाएं और सभी प्रशासनिक खातों के लिए 2FA सक्षम करें।.
  8. सुधार के बाद असामान्य गतिविधियों के लिए साइट की निकटता से निगरानी करें।.
  9. उन सेवाओं पर विचार करें जो वर्चुअल पैचिंग या प्रबंधित WAF की पेशकश करती हैं ताकि पैच विंडो के दौरान स्वचालित, अस्थायी नियम तैनाती हो सके।.
  10. स्थापित प्लगइन्स की सुरक्षा समीक्षा करें और खराब रखरखाव या सुरक्षा इतिहास वाले प्लगइन्स को हटा दें या बदलें।.

अंतिम विचार

CVE-2025-13930 यह याद दिलाता है कि अधिकरण जांचों की कमी ई-कॉमर्स स्टोर के लिए व्यवसाय-क्रिटिकल आउटेज का कारण बन सकती है। प्लगइन लेखक ने एक सुधार (7.8.6) प्रदान किया है - पहले पैच करें। जब आप पैच करें, तो वर्चुअल पैच लागू करें, बैकअप लें, निगरानी करें, और यदि आवश्यक हो तो खोई हुई सामग्री को पुनर्स्थापित करने के लिए तैयार रहें।.

यदि आपको पेशेवर सहायता की आवश्यकता है, तो एक विश्वसनीय सुरक्षा सलाहकार से संपर्क करें या अपने होस्टिंग प्रदाता की सुरक्षा टीम से संपर्क करें। समय महत्वपूर्ण है: जल्दी कार्रवाई करें - एक पैच की लागत एक शोषित भेद्यता से उबरने की तुलना में छोटी है।.

प्रकाशित: 2026-02-21 · CVE-2025-13930 · हांगकांग सुरक्षा विशेषज्ञ सलाह


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

ऑर्डर करने योग्य प्लगइन पहुंच दोषों से उपयोगकर्ताओं की सुरक्षा (CVE20260974)

अगला लेख —

प्रोडिजी समावेश (CVE20260926) से हांगकांग साइटों की रक्षा करें

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा चेतावनी असुरक्षित छवि एक्सेस (CVE202511176)

  • अक्टूबर 15, 2025
वर्डप्रेस क्विक फीचर्ड इमेजेस प्लगइन <= 13.7.2 - छवि हेरफेर कमजोरियों के लिए असुरक्षित प्रत्यक्ष वस्तु संदर्भ
Wवर्डप्रेस भेद्यता डेटाबेस

Xagio SEO बैकअप फ़ाइलें संवेदनशील डेटा को उजागर करती हैं (CVE202413807)

  • अगस्त 28, 2025
WordPress Xagio SEO प्लगइन <= 7.1.0.5 - अनधिकृत संवेदनशील जानकारी का उजागर होना अनसुरक्षित बैक-अप फ़ाइलों के माध्यम से
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह वर्डप्रेस स्लाइडर SSRF(CVE20258680)

  • अगस्त 14, 2025
वर्डप्रेस B स्लाइडर - WP प्लगइन के लिए गुटेनबर्ग स्लाइडर ब्लॉक <= 2.0.0 - प्रमाणित (सदस्य+) सर्वर-साइड अनुरोध धोखाधड़ी भेद्यता