Urgent: QSM (Quiz And Survey Master) < 10.2.3 — Template Creation via CSRF (CVE-2025-6790)

लेखक: हांगकांग सुरक्षा विशेषज्ञ

तारीख: 2025-08-15

सारांश

• एक क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) की कमजोरी जो क्विज़ और सर्वे मास्टर (QSM) के 10.2.3 से पहले के संस्करणों को प्रभावित करती है, को CVE-2025-6790 सौंपा गया है।.
• यह समस्या एक हमलावर को प्लगइन में टेम्पलेट निर्माण को सक्रिय करने की अनुमति देती है। टेम्पलेट के रेंडरिंग के तरीके के आधार पर, यह संग्रहीत सामग्री इंजेक्शन, विशेषाधिकार का दुरुपयोग, या अन्य अनुवर्ती जोखिमों को सक्षम कर सकता है।.
• विक्रेता ने संस्करण 10.2.3 में एक सुधार जारी किया। प्रशासकों को प्राथमिक सुधार के रूप में अपडेट करने को प्राथमिकता देनी चाहिए।.
• यह सलाहकार कमजोरियों, वास्तविक हमले के परिदृश्यों, पहचान मार्गदर्शन, और हांगकांग के उद्यमों और क्षेत्रीय साइट ऑपरेटरों के लिए उपयुक्त एक व्यावहारिक घटना-प्रतिक्रिया चेकलिस्ट को समझाता है।.

यह क्यों महत्वपूर्ण है

क्विज़ और सर्वे प्लगइन्स सामग्री के टुकड़े या टेम्पलेट बना सकते हैं जो बाद में सार्वजनिक पृष्ठों या प्रशासन UI में रेंडर होते हैं। यदि टेम्पलेट बनाने वाला एंडपॉइंट उचित अनुरोध सत्यापन (नॉन्स जांच, SameSite सुरक्षा, या क्षमता जांच) की कमी करता है, तो एक हमलावर एक विशेषाधिकार प्राप्त उपयोगकर्ता को एक अनुरोध सबमिट करने के लिए धोखा दे सकता है जो दुर्भावनापूर्ण टेम्पलेट बनाता है।.

परिणामों में शामिल हैं:

• साइट विज़िटर्स के लिए निष्पादित होने वाले टेम्पलेट में एम्बेडेड दुर्भावनापूर्ण जावास्क्रिप्ट या HTML।.
• शॉर्टकोड या टेम्पलेट-चालित सुविधाओं के माध्यम से स्थिरता/बैकडोर।.
• SEO विषाक्तता, रीडायरेक्ट, या अन्य प्रतिष्ठा क्षति।.

हालांकि कुछ रिपोर्टों में CVSS गंभीरता को कम वर्गीकृत किया गया है, उच्च-ट्रैफ़िक साइटों या साइटों के लिए जो इनलाइन टेम्पलेट रेंडर करते हैं, का संचालनात्मक प्रभाव महत्वपूर्ण हो सकता है। संगठनों को इसे पैचिंग और घटना की तत्परता के लिए प्राथमिकता के रूप में मानना चाहिए।.

भेद्यता क्या है (उच्च स्तर)

• प्रकार: क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF)
• प्रभावित घटक: Template creation functionality in QSM versions < 10.2.3
• पहचानकर्ता: CVE-2025-6790
• प्रभाव: एक हमलावर प्रमाणित उपयोगकर्ताओं को वैध एंटी-CSRF टोकन के बिना अनुरोध सबमिट करने के लिए प्रभावित करके टेम्पलेट बनाने का कारण बन सकता है।.
• गंभीरता: कम (संचालनात्मक जोखिम टेम्पलेट उपयोग और साइट कॉन्फ़िगरेशन के साथ भिन्न होता है)

CSRF क्या है — और टेम्पलेट निर्माण विशेष क्यों है

CSRF तब होता है जब एक पीड़ित का ब्राउज़र, जो एक साइट पर प्रमाणित है, को एक अनुरोध भेजने के लिए प्रेरित किया जाता है जो स्थिति-परिवर्तनकारी क्रियाएँ करता है। चूंकि टेम्पलेट कई पृष्ठों में शामिल किए जा सकते हैं, एक दुर्भावनापूर्ण टेम्पलेट कई विज़िटर्स या प्रशासकों को प्रभावित कर सकता है।.

• टेम्पलेट में स्क्रिप्ट, आईफ्रेम, या शॉर्टकोड हो सकते हैं जो रेंडर पर निष्पादित होते हैं।.
• लगातार सामग्री निर्माण एक हमलावर को अनुवर्ती गतिविधियों के लिए एक स्थायी आधार प्रदान करता है।.

यथार्थवादी हमले के परिदृश्य

निम्नलिखित परिदृश्य संभावित दुरुपयोग वेक्टरों को प्रदर्शित करते हैं (सुरक्षा जागरूकता के लिए केवल):

1. JavaScript के साथ दुर्भावनापूर्ण टेम्पलेट: एक व्यवस्थापक एक तैयार पृष्ठ पर जाता है; उनका ब्राउज़र एक POST को ट्रिगर करता है जो JS वाला एक टेम्पलेट बनाता है। जब इसे प्रस्तुत किया जाता है, तो आगंतुक स्क्रिप्ट को निष्पादित करते हैं।.
2. शॉर्टकोड के माध्यम से बैकडोर: एक टेम्पलेट में एक शॉर्टकोड होता है जो एक अन्य असुरक्षित प्लगइन के साथ मिलकर सर्वर-साइड कोड निष्पादन या एक स्थायी बैकडोर का परिणाम देता है।.
3. SEO विषाक्तता / स्पैम: छिपे हुए लिंक या रीडायरेक्ट टेम्पलेट में पेश किए जाते हैं, जो खोज रैंकिंग और विश्वास को नुकसान पहुंचाते हैं।.
4. विशेषाधिकार का दुरुपयोग: व्यवस्थापक इंटरफ़ेस में प्रस्तुत होने वाले टेम्पलेट कार्यों को ट्रिगर कर सकते हैं जो प्रशासनिक कार्यप्रवाह को प्रभावित करते हैं।.
5. बहु-चरण वृद्धि: CSRF प्रारंभिक टेम्पलेट बनाता है; एक अन्य भेद्यता बाद में इसे अधिक नियंत्रण में परिवर्तित करती है।.

शोषण जटिलता और पूर्वापेक्षाएँ

• उपयोगकर्ता इंटरैक्शन: आवश्यक - आमतौर पर एक प्रमाणित व्यवस्थापक/संपादक को एक तैयार पृष्ठ पर जाना चाहिए।.
• विशेषाधिकार: प्रभाव इस पर निर्भर करता है कि अंत बिंदु कौन सा भूमिका स्वीकार करता है; व्यवस्थापक सत्र सबसे मूल्यवान होते हैं।.
• नेटवर्क: पीड़ित की हमलावर-होस्टेड पृष्ठ तक पहुँचने की क्षमता के अलावा कोई विशेष नेटवर्क पहुँच नहीं है।.
• पहचान से बचाव: हमलावर खोज को विलंबित करने के लिए निर्दोष टेम्पलेट बना सकते हैं।.

प्रत्येक साइट के मालिक को तुरंत उठाने चाहिए कदम (ट्रिएज चेकलिस्ट)

इन चरणों का तुरंत पालन करें। 10.2.3 का अपडेट सबसे महत्वपूर्ण कार्रवाई है।.

1. प्लगइन को अपडेट करें: सभी वातावरणों पर QSM 10.2.3 (या बाद में) लागू करें, स्टेजिंग में मान्यता के बाद।.
2. यदि आप 24 घंटे के भीतर अपडेट नहीं कर सकते हैं, तो कम करें:
   • प्लगइन-विशिष्ट टेम्पलेट निर्माण अंत बिंदुओं पर POST अनुरोधों को ब्लॉक करने के लिए WAF या होस्टिंग नियंत्रण नियमों का उपयोग करें।.
   • प्रशासनिक सत्रों के दौरान आईपी द्वारा प्रशासनिक पहुंच को प्रतिबंधित करें या VPN की आवश्यकता करें।.
   • किसी भी फीचर को अक्षम करें या प्रतिबंधित करें जो प्लगइन-निर्मित टेम्पलेट्स को कॉन्फ़िगर करने पर सक्षम करता है।.
3. टेम्पलेट्स और प्लगइन सामग्री का ऑडिट करें: पिछले 7-30 दिनों में बनाए गए टेम्पलेट्स की जांच करें कि क्या उनमें स्क्रिप्ट, iframes, या अपरिचित शॉर्टकोड हैं। संदिग्ध वस्तुओं को क्वारंटाइन या हटा दें और विश्लेषण के लिए प्रतियां निर्यात करें।.
4. लॉग की जांच करें: QSM अंत बिंदुओं पर POSTs, असामान्य प्रशासनिक सत्रों, या असामान्य उपयोगकर्ता एजेंटों के लिए वेब सर्वर, वर्डप्रेस गतिविधि, और होस्टिंग लॉग की समीक्षा करें। टाइमस्टैम्प और स्रोत आईपी रिकॉर्ड करें।.
5. संवेदनशील क्रेडेंशियल्स रीसेट करें: साइट से संबंधित सभी प्रशासनिक पासवर्ड और किसी भी API कुंजी को घुमाएं। यदि समझौता होने का संदेह है तो बाहरी सेवा क्रेडेंशियल्स को भी घुमाएं।.
6. मैलवेयर के लिए स्कैन करें: फ़ाइल अखंडता और मैलवेयर स्कैन चलाएं, हाल ही में संशोधित प्लगइन/थीम फ़ाइलों पर ध्यान केंद्रित करें।.
7. हितधारकों को सूचित करें: आवश्यक होने पर ग्राहकों या प्रभावित उपयोगकर्ताओं के लिए एक आंतरिक खुलासा और सुधार योजना तैयार करें।.
8. बैकअप: फोरेंसिक साक्ष्य को संरक्षित करने के लिए परिवर्तनों को करने से पहले एक साफ स्नैपशॉट (फाइलें + DB) लें।.

संभावित शोषण का पता कैसे लगाएं

सीधे और अप्रत्यक्ष संकेतों की तलाश करें:

• अप्रत्याशित उपयोगकर्ताओं या सिस्टम खातों द्वारा लिखित नए टेम्पलेट्स।.
• Database rows containing
  मेरा ऑर्डर देखें

  0

  उप-योग

  चेकआउट पर कर और शिपिंग की गणना की गई

  चेकआउट