Wवर्डप्रेस भेद्यता डेटाबेस

HK सुरक्षा NGO वर्डप्रेस CSRF WPDM की चेतावनी (CVE202554732)

वर्डप्रेस WPDM – प्रीमियम पैकेजेस प्लगइन
0
शेयर
0
0
0
0
प्लगइन का नाम WPDM – प्रीमियम पैकेजेस
कमजोरियों का प्रकार CSRF (क्रॉस-साइट अनुरोध धोखाधड़ी)
CVE संख्या CVE-2025-54732
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-14
स्रोत URL CVE-2025-54732

WPDM – प्रीमियम पैकेजेस (≤ 6.0.2) CSRF (CVE-2025-54732): वर्डप्रेस साइट मालिकों को क्या जानना चाहिए और अपनी साइटों की सुरक्षा कैसे करें

दिनांक: 2025-08-15 | लेखक: हांगकांग सुरक्षा विशेषज्ञ | टैग: वर्डप्रेस, सुरक्षा, wpsites, csrf, प्लगइन-सुरक्षा

14 अगस्त 2025 को एक सार्वजनिक खुलासा ने WPDM – प्रीमियम पैकेजेस प्लगइन में क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) भेद्यता की रिपोर्ट की, जो 6.0.2 तक और शामिल संस्करणों को प्रभावित करती है (CVE-2025-54732)। विक्रेता ने संस्करण 6.0.3 में एक पैच जारी किया। यह सलाहकार मुद्दे की तकनीकी प्रकृति, वास्तविक शोषण परिदृश्यों, किसे जोखिम है, और व्यावहारिक उपायों का सारांश प्रस्तुत करता है जिन्हें आप तुरंत लागू कर सकते हैं। यह मार्गदर्शन हांगकांग में सुरक्षा प्रथियों के दृष्टिकोण से लिखा गया है जो उत्पादन वातावरण में वर्डप्रेस साइटों की रक्षा करते हैं।.

कार्यकारी सारांश

  • भेद्यता: WPDM – प्रीमियम पैकेजेस प्लगइन (≤ 6.0.2) में क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF)।.
  • CVE: CVE-2025-54732
  • गंभीरता: कम (CVSS 4.3) — संदर्भ-निर्भर (साइट कॉन्फ़िगरेशन, विशेषाधिकार)।.
  • प्रभावित संस्करण: 6.0.2 और पहले
  • में ठीक किया गया: 6.0.3
  • शोषण: एक हमलावर एक पृष्ठ या अनुरोध तैयार कर सकता है जो एक प्रमाणित व्यवस्थापक/संपादक को wp-admin में लॉग इन करते समय अनपेक्षित क्रियाएँ करने के लिए मजबूर करता है।.
  • तात्कालिक कार्रवाई: जितनी जल्दी हो सके प्लगइन को 6.0.3 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो नीचे वर्णित मुआवजा नियंत्रण लागू करें।.

CSRF क्या है और यह WordPress प्लगइनों के लिए क्यों महत्वपूर्ण है

क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) एक उपयोगकर्ता के ब्राउज़र को एक प्रमाणित अनुरोध भेजने के लिए धोखा देती है उस साइट पर जहां उपयोगकर्ता लॉग इन है। यदि एक प्लगइन स्थिति-परिवर्तनकारी संचालन (बनाना/संपादित करना/हटाना/कॉन्फ़िगर करना) करता है बिना अनुरोध के स्रोत या एक एंटी-CSRF टोकन (नॉनस) की पुष्टि किए, तो उन क्रियाओं को पीड़ित द्वारा बिना इरादे के निष्पादित किया जा सकता है।.

वर्डप्रेस में सामान्य उपाय:

  • फ़ॉर्म और AJAX एंडपॉइंट्स के लिए नॉनस (wp_create_nonce / wp_verify_nonce या check_admin_referer) का उपयोग करें।.
  • current_user_can() के साथ वर्तमान उपयोगकर्ता की क्षमताओं की पुष्टि करें।.
  • स्थिति-परिवर्तनकारी GET अनुरोधों से बचें।.
  • सुनिश्चित करें कि विशेषाधिकार प्राप्त एंडपॉइंट्स अनधिकृत उपयोगकर्ताओं के लिए सुलभ नहीं हैं।.

जब ये जांचें गायब होती हैं या गलत तरीके से लागू की जाती हैं, तो हमलावर फ़ॉर्म, छवि अनुरोध, या AJAX कॉल तैयार कर सकते हैं जो एक लॉग इन व्यवस्थापक के ब्राउज़र में विशेषाधिकार प्राप्त संचालन को ट्रिगर करते हैं।.

इस WPDM कमजोरियों का व्यवहार कैसे होता है (तकनीकी अवलोकन)

CVE-2025-54732 के लिए सार्वजनिक प्रकटीकरण WPDM – प्रीमियम पैकेज में 6.0.3 से पहले एक CSRF कमजोरी की रिपोर्ट करता है। इस वर्ग की समस्या के लिए देखे गए सामान्य पैटर्न में शामिल हैं:

  • व्यवस्थापक-समर्थित एंडपॉइंट (फॉर्म हैंडलर या admin-ajax क्रियाएँ) बिना वर्डप्रेस नॉन्स की पुष्टि किए राज्य परिवर्तन कर रहे हैं।.
  • पूर्वानुमानित एंडपॉइंट (admin-post.php या admin-ajax.php एक क्रिया पैरामीटर के साथ) के माध्यम से पहुंच योग्य क्रियाएँ जो check_admin_referer() / wp_verify_nonce() और/या current_user_can() जांचों की कमी हैं।.
  • अन्य मूल से अनुरोध स्वीकार किए जाते हैं क्योंकि संदर्भ जांच गायब या गलत हैं।.
  • क्षमता जांचों की अनुपस्थिति जो सीमित विशेषाधिकार वाले भूमिकाओं के लिए क्रियाओं को सफल होने की अनुमति देती है।.

वास्तविक प्रभाव इस पर निर्भर करता है कि कौन सा खाता लक्षित है:

  • यदि पीड़ित के पास कम विशेषाधिकार हैं और क्रिया के लिए उच्च क्षमताओं की आवश्यकता है, तो प्रभाव सीमित हो सकता है।.
  • यदि एक व्यवस्थापक/संपादक को धोखा दिया जाता है, तो परिणामों में कॉन्फ़िगरेशन परिवर्तन, पैकेज निर्माण/हटाना, या व्यावसायिक तर्क का दुरुपयोग शामिल हो सकता है।.

संभावित शोषण परिदृश्य

यथार्थवादी परिदृश्य जिनका प्रयास एक हमलावर कर सकता है यदि प्लगइन पैच नहीं किया गया है:

  1. एक दुर्भावनापूर्ण वेब पृष्ठ स्वचालित रूप से एक फॉर्म सबमिट कर रहा है: एक छिपा हुआ फॉर्म WPDM क्रिया एंडपॉइंट पर POST डेटा स्वचालित रूप से सबमिट करता है। यदि एंडपॉइंट में नॉन्स या क्षमता जांच की कमी है, तो अवांछित व्यवस्थापक क्रियाएँ निष्पादित हो सकती हैं।.
  2. फ़िशिंग लिंक जो राज्य परिवर्तन को ट्रिगर करता है: एक तैयार किया गया GET लिंक जिसे एक लॉगिन किए गए व्यवस्थापक द्वारा क्लिक किया गया, एक क्रिया को ट्रिगर करता है क्योंकि प्लगइन नॉन्स सत्यापन के बिना GET के माध्यम से परिवर्तन करता है।.
  3. क्लिकजैकिंग जो CSRF के साथ मिलकर: यदि व्यवस्थापक पृष्ठ iframe योग्य हैं और X-Frame-Options या frame-ancestors द्वारा सुरक्षित नहीं हैं, तो हमलावर क्लिक उत्पन्न कर सकते हैं जो कमजोर फॉर्म सबमिट करते हैं।.
  4. स्वचालित सामूहिक स्कैनिंग: हमलावर WPDM ≤ 6.0.2 के लिए स्कैन करते हैं और लक्षित ड्राइव-बाय पृष्ठों या फ़िशिंग अभियानों को धकेलते हैं ताकि कई साइटों को समझौता किया जा सके जहाँ व्यवस्थापक लॉगिन हैं।.

ये परिदृश्य एक उपयोगकर्ता के लिए पर्याप्त विशेषाधिकार के साथ एक प्रमाणित सत्र की आवश्यकता होती है; हमलावर सामाजिक इंजीनियरिंग या ड्राइव-बाय सामग्री पर निर्भर करते हैं न कि क्रेडेंशियल चोरी पर।.

किसे जोखिम है?

  • कोई भी वर्डप्रेस साइट जो WPDM – प्रीमियम पैकेज संस्करण 6.0.2 या पुराने चला रही है।.
  • कई प्रशासकों के साथ साइटें जो wp-admin में लॉग इन रहते हुए बाहरी वेबसाइटों को ब्राउज़ करती हैं।.
  • लंबे समय तक चलने वाले प्रशासन सत्र या ढीले सत्र प्रबंधन वाली साइटें।.
  • साइटें जो WPDM का उपयोग करती हैं भुगतान या गेटेड डाउनलोड के लिए, जहां पैकेज परिवर्तनों का राजस्व या पहुंच पर प्रभाव पड़ सकता है।.

तात्कालिक कार्रवाई (जो हर साइट के मालिक को अभी करना चाहिए)

  1. प्लगइन को 6.0.3 या बाद के संस्करण में अपडेट करें।. यह अंतिम समाधान है। अपडेट को रखरखाव विंडो के दौरान करें और पहले फ़ाइलों और डेटाबेस का बैकअप लें।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो आपातकालीन उपाय लागू करें:

    • सर्वर या होस्टिंग स्तर पर IP द्वारा wp-admin तक पहुंच को प्रतिबंधित करें।.
    • सत्र की अवधि को छोटा करें और निष्क्रिय उपयोगकर्ताओं को तुरंत लॉग आउट करें।.
    • अप्रयुक्त प्रशासनिक खातों को निष्क्रिय या हटा दें।.
    • यदि व्यावसायिक प्रक्रियाएं अनुमति देती हैं तो अस्थायी रूप से प्लगइन को निष्क्रिय करें।.
  3. प्रशासनिक सत्रों को मजबूत करें:

    • प्रशासन/संपादक भूमिकाओं के लिए बहु-कारक प्रमाणीकरण की आवश्यकता करें।.
    • सुनिश्चित करें कि कुकीज़ में सुरक्षित, HttpOnly और उपयुक्त SameSite विशेषताएँ हैं।.
  4. गतिविधि और लॉग की समीक्षा करें: पैकेज, सेटिंग्स या नए बनाए गए सामग्री में संदिग्ध परिवर्तनों की जांच करें और WPDM एंडपॉइंट्स के लिए सर्वर एक्सेस लॉग की जांच करें।.
  5. समझौते के लिए स्कैन करें: कोर, थीम और प्लगइन्स के मैलवेयर स्कैन और अखंडता जांच चलाएँ। यदि आपको शोषण का संदेह है तो लॉग और स्नैपशॉट को सुरक्षित रखें।.

यह कैसे पता करें कि आपकी साइट का शोषण किया गया था

WPDM के खिलाफ CSRF से संबंधित समझौते के संकेत:

  • प्रीमियम पैकेज, मूल्य निर्धारण या डाउनलोड नियमों में अप्रत्याशित संशोधन।.
  • बिना सहमति के नए प्रीमियम पैकेज बनाए गए।.
  • प्लगइन सेटिंग्स में परिवर्तन (रीडायरेक्ट, भुगतान विकल्प, पहुंच नियम)।.
  • प्रकटीकरण तिथि के बाद अस्पष्ट प्लगइन त्रुटियाँ या बैकअप विफलताएँ।.
  • संदिग्ध आउटगोइंग कनेक्शन या प्लगइन डेटा के माध्यम से इंजेक्ट किया गया तृतीय-पक्ष कोड।.

कहाँ देखें:

  • वर्डप्रेस गतिविधि लॉग (यदि उपलब्ध हो)।.
  • सर्वर एक्सेस लॉग - admin-ajax.php, admin-post.php, या प्लगइन-विशिष्ट एंडपॉइंट्स पर POST के लिए देखें।.
  • WPDM तालिकाओं में अप्रत्याशित परिवर्तनों के लिए डेटाबेस बैकअप और स्नैपशॉट।.
  • होस्टिंग नियंत्रण पैनल लॉग।.

यदि आप संदिग्ध गतिविधि पाते हैं, तो इसे संभावित समझौते के रूप में मानें: साइट को ऑफलाइन करें, व्यवस्थापक क्रेडेंशियल्स को बदलें, सभी सॉफ़्टवेयर को अपडेट करें, और पेशेवर घटना प्रतिक्रिया पर विचार करें।.

दीर्घकालिक सुधार और सर्वोत्तम प्रथाएँ

  • प्लगइन्स, थीम और वर्डप्रेस कोर को तुरंत अपडेट रखें।.
  • व्यवस्थापक खातों की संख्या सीमित करें और न्यूनतम विशेषाधिकार सिद्धांत लागू करें।.
  • सभी उपयोगकर्ताओं के लिए 2FA लागू करें जिनके पास उच्च विशेषाधिकार हैं।.
  • स्वचालन या एकीकरण के लिए भूमिका विभाजन और स्कोप्ड खातों का उपयोग करें।.
  • यदि आप प्लगइन्स या कस्टम कोड विकसित करते हैं, तो सुनिश्चित करें:
    • राज्य-परिवर्तन ऑपरेशनों के लिए नॉनसेस का उपयोग किया जाता है (wp_create_nonce / check_admin_referer)।.
    • क्षमता जांच (current_user_can) मौजूद हैं।.
    • GET अनुरोधों द्वारा कोई राज्य परिवर्तन नहीं किया जाता है।.
    • इनपुट को साफ और मान्य किया जाता है।.

वर्चुअल पैचिंग: कैसे एक WAF आपकी अपडेट करते समय मदद कर सकता है।

वर्चुअल पैचिंग एक अस्थायी नियंत्रण है जो शोषण प्रयासों को रोकता है जब तक कि आप आधिकारिक अपडेट लागू नहीं कर लेते। CSRF मुद्दों के लिए, इसमें आमतौर पर शामिल होता है:

  • उन कमजोर अंत बिंदुओं के लिए अनुरोधों को ब्लॉक करना जिनमें अपेक्षित नॉनस पैरामीटर नहीं होते।.
  • संदिग्ध क्रिया मानों के साथ admin-ajax.php या admin-post.php पर POST/GET अनुरोधों को गिराना।.
  • बाहरी संदर्भों से आने वाले प्रशासनिक क्रियाओं के लिए अनुरोधों को ब्लॉक करना।.
  • प्रशासनिक इंटरफेस के लिए संदिग्ध अनुरोधों को दर-सीमा निर्धारित करना या चुनौती देना।.

वर्चुअल पैचिंग समय खरीदता है लेकिन प्लगइन को अपडेट करने का विकल्प नहीं है। वैध प्रशासनिक कार्यप्रवाहों को बाधित करने से बचने के लिए किसी भी WAF नियमों का परीक्षण स्टेजिंग में करें।.

निम्नलिखित अवधारणात्मक नियम पैटर्न पर विचार करें; अपने वातावरण के अनुसार अनुकूलित करें और परीक्षण करें:

  1. नॉनस उपस्थिति जांच: admin-ajax.php या admin-post.php पर POST को ब्लॉक करें जहां क्रिया में प्लगइन-विशिष्ट उपसर्ग (जैसे, wpdm_) शामिल हैं और जहां _wpnonce या नॉनस पैरामीटर अनुपस्थित या गलत है। क्रिया: ब्लॉक करें या 403 लौटाएं।.
  2. क्रॉस-ओरिजिन POST ब्लॉकिंग: wp-admin/*, admin-ajax.php, admin-post.php पर POST को ब्लॉक करें जहां Origin या Referer हेडर साइट के होस्ट से मेल नहीं खाते। क्रिया: ब्लॉक करें या चुनौती प्रस्तुत करें।.
  3. प्रशासनिक पृष्ठों के लिए समान-साइट नेविगेशन लागू करें: अपेक्षित आंतरिक AJAX कॉल के लिए, X-Requested-With हेडर या समान-साइट अनुरोधों के अन्य संकेतकों की आवश्यकता करें।.
  4. क्रिया-आधारित फ़िल्टर: ज्ञात कमजोर क्रिया नामों के लिए (यदि प्रकट किए गए हैं), उन अनुरोधों को ब्लॉक करें जब तक कि वे एक मान्य नॉनस के साथ न हों।.
  5. दर सीमित करना और प्रतिष्ठा: बाहरी साइटों या संदिग्ध उपयोगकर्ता एजेंटों से प्रशासनिक क्रियाओं को ट्रिगर करने के प्रयासों को दर-सीमा निर्धारित करें।.

नियम हिट्स को लॉग करें और झूठे सकारात्मक के लिए निगरानी करें। जहां संभव हो, उत्पादन से पहले स्टेजिंग में तैनात करें।.

साइट मालिकों के लिए व्यावहारिक कॉन्फ़िगरेशन चेकलिस्ट

  • किसी भी अपडेट से पहले साइट फ़ाइलों और डेटाबेस का बैकअप लें।.
  • WPDM - प्रीमियम पैकेज को तुरंत 6.0.3 या बाद के संस्करण में अपडेट करें।.
  • प्लगइन चेंजेलॉग की पुष्टि करें और सुनिश्चित करें कि सुधार लागू किया गया है।.
  • यदि आप तुरंत अपडेट नहीं कर सकते: अस्थायी नियंत्रण लागू करें (IP प्रतिबंध, छोटे सत्र, या WAF नियम जो बिना नॉनसेस के प्रशासनिक क्रियाओं को रोकते हैं)।.
  • प्रशासन/संपादक खातों के लिए MFA/2FA की आवश्यकता करें।.
  • जहां संभव हो, IP द्वारा प्रशासनिक सत्रों को सीमित करें।.
  • पैचिंग के बाद मैलवेयर स्कैन और फ़ाइल अखंडता जांच चलाएँ।.
  • अप्रयुक्त प्रशासनिक खातों की समीक्षा करें और उन्हें हटा दें; क्रेडेंशियल्स को घुमाएँ।.
  • प्रशासनिक एंडपॉइंट्स के लिए लॉगिंग/निगरानी सक्षम करें और कम से कम 90 दिनों के लिए लॉग बनाए रखें।.

यदि आप शोषण का संदेह करते हैं तो घटना प्रतिक्रिया के कदम।

  1. आगे की बातचीत को रोकने के लिए साइट को रखरखाव मोड में डालें।.
  2. सबूत को संरक्षित करें: सर्वर लॉग, डेटाबेस बैकअप और गतिविधि लॉग को सहेजें।.
  3. सभी प्रशासनिक खातों और किसी भी API कुंजी के लिए क्रेडेंशियल्स को घुमाएँ।.
  4. कमजोर प्लगइन को 6.0.3 में अपडेट करें और सभी अन्य अपडेट लागू करें।.
  5. मैलवेयर और बैकडोर के लिए स्कैन करें; यदि संभव हो तो कई प्रतिष्ठित स्कैनर का उपयोग करें।.
  6. यदि लगातार बैकडोर पाए जाते हैं तो संदिग्ध समझौते से पहले के साफ बैकअप से पुनर्स्थापित करें।.
  7. समझौता किए गए API कुंजी को फिर से जारी करें और प्रभावित उपयोगकर्ताओं को सूचित करें यदि व्यक्तिगत डेटा उजागर हो सकता है।.
  8. अंतराल बंद करने के लिए एक पोस्ट-घटना समीक्षा करें (2FA, अपडेट की आवृत्ति, लॉगिंग)।.

अक्सर पूछे जाने वाले प्रश्न (FAQ)

प्रश्न: CVSS कम है - क्या मुझे अभी भी चिंता करनी चाहिए?
उत्तर: हाँ। कम CVSS अक्सर प्रमाणित उपयोगकर्ता की आवश्यकता को दर्शाता है, लेकिन यदि एक प्रशासक को लक्षित किया जाता है तो प्रभाव महत्वपूर्ण हो सकता है। तुरंत पैच करें।.

प्रश्न: क्या मैं अपडेट करने के बजाय प्लगइन को केवल निष्क्रिय कर सकता हूँ?
उत्तर: निष्क्रिय करना कमजोर कोड को निष्पादन से हटा देता है और एक वैध अस्थायी समाधान है। इस पर निर्भर होने से पहले पुष्टि करें कि निष्क्रियता महत्वपूर्ण कार्यप्रवाहों को बाधित नहीं करती है।.

प्रश्न: क्या SameSite कुकीज़ CSRF को रोकती हैं?
उत्तर: SameSite सेटिंग्स क्रॉस-साइट नेविगेशन के लिए जोखिम को कम करती हैं, लेकिन ये नॉनसेस और क्षमता जांचों का स्थान नहीं लेती हैं। इन्हें गहराई में रक्षा के उपाय के रूप में मानें।.

प्रश्न: मुझे लॉग कितने समय तक रखना चाहिए?
उत्तर: फोरेंसिक उद्देश्यों के लिए कम से कम 90 दिनों तक विस्तृत लॉग बनाए रखें; यदि लागू हो तो नियामक आवश्यकताओं का पालन करें।.

प्लगइन लेखकों को नॉनसेस और क्षमता जांचों को प्राथमिकता क्यों देनी चाहिए

बिना नॉनसेस और क्षमता जांचों के, प्लगइन राज्य-परिवर्तन करने वाली क्रियाओं को उन अनुरोधों के लिए उजागर करते हैं जिन्हें एक ब्राउज़र भेजने के लिए धोखा दिया जा सकता है। लेखकों के लिए अनुशंसित प्रथाएँ:

  • GET पैरामीटर से राज्य परिवर्तनों से बचें।.
  • फॉर्म और AJAX एंडपॉइंट्स के लिए नॉनसेस की आवश्यकता करें।.
  • आवश्यक क्षमताओं के लिए current_user_can() की जांच करें।.
  • सभी इनपुट को साफ और मान्य करें।.

समापन अनुशंसाएँ - साइट मालिकों के लिए प्राथमिकता दी गई रोडमैप

  1. WPDM - प्रीमियम पैकेज को 6.0.3 (उच्चतम प्राथमिकता) पर अपडेट करें।.
  2. यदि आप कई साइटों का प्रबंधन करते हैं, तो वातावरणों में अपडेट को तुरंत समन्वयित करें।.
  3. विशेषाधिकार प्राप्त खातों के लिए 2FA सक्षम करें और सत्र स्वच्छता को लागू करें।.
  4. अपडेट लागू होने तक WAF या होस्टिंग फ़ायरवॉल के माध्यम से अस्थायी वर्चुअल पैचिंग पर विचार करें।.
  5. यदि आप कस्टम प्लगइन्स या क्लाइंट साइटों को बनाए रखते हैं तो प्लगइन कोड का ऑडिट और मजबूत करें।.

कमजोरियों का खुलासा तनावपूर्ण होता है; शांत, विधिपूर्वक कार्रवाई के साथ प्रतिक्रिया दें: पहले अपडेट करें, फिर सत्यापित करें और निगरानी करें। यदि आपको फोरेंसिक विश्लेषण या घटना प्रतिक्रिया में सहायता की आवश्यकता है, तो WordPress अनुभव वाले एक विश्वसनीय सुरक्षा पेशेवर से संपर्क करें।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

नेक्सटर ब्लॉक्स ब्रोकन एक्सेस कंट्रोल फ्लॉ(CVE202554739)

अगला लेख —

हांगकांग एनजीओ ने वर्डप्रेस फाइंडगो CSRF (CVE202553587) की चेतावनी दी है

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

एचके सुरक्षा सलाह WPBakery क्रॉस साइट स्क्रिप्टिंग(CVE202511161)

  • अक्टूबर 15, 2025
वर्डप्रेस WPBakery पेज बिल्डर प्लगइन <= 8.6.1 - vc_custom_heading शॉर्टकोड के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग कमजोरियों
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग वर्डप्रेस The7 स्टोर्ड XSS अलर्ट (CVE20257726)

  • अगस्त 11, 2025
वर्डप्रेस The7 प्लगइन <= 12.6.0 - प्रमाणित (योगदानकर्ता+) स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग शीर्षक और data-dt-img-description विशेषताओं के माध्यम से कमजोरियों