Wवर्डप्रेस भेद्यता डेटाबेस

नागरिक सुरक्षा सलाहकार Colorbox XSS भेद्यता (CVE202549397)

वर्डप्रेस कलरबॉक्स लाइटबॉक्स प्लगइन
0
शेयर
0
0
0
0






Urgent: Colorbox Lightbox (<= 1.1.5) — XSS (CVE-2025-49397) | Hong Kong Security Expert


प्लगइन का नाम कलरबॉक्स लाइटबॉक्स
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2025-49397
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-20
स्रोत URL CVE-2025-49397

तत्काल: कलरबॉक्स लाइटबॉक्स प्लगइन (≤ 1.1.5) — XSS कमजोरियों (CVE-2025-49397) और वर्डप्रेस साइटों को अब क्या करना चाहिए

तारीख: 20 अगस्त 2025
लेखक: हांगकांग सुरक्षा विशेषज्ञ

सारांश

एक क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरी जो कलरबॉक्स लाइटबॉक्स संस्करणों ≤ 1.1.5 को प्रभावित करती है, प्रकाशित की गई थी और इसे CVE-2025-49397 सौंपा गया। विक्रेता ने संस्करण 1.1.6 में समस्या को ठीक किया। हालांकि इसे मध्यम CVSS स्कोर (6.5) और कई साइटों के लिए कम पैच प्राथमिकता के साथ वर्गीकृत किया गया है, यह कमजोरी उन साइटों के लिए महत्वपूर्ण है जो योगदानकर्ता स्तर के उपयोगकर्ताओं से सामग्री स्वीकार करती हैं या अन्यथा उपयोगकर्ता-प्रदत्त डेटा को आगंतुकों के लिए उजागर करती हैं। नीचे मैं तकनीकी प्रभाव, शोषण परिदृश्यों, पहचान और शमन कदमों, और एक घटना प्रतिक्रिया चेकलिस्ट का वर्णन करता हूं - साइट के मालिकों और प्रशासकों के लिए स्पष्ट, व्यावहारिक शैली में लिखा गया।.

सामग्री की तालिका

  • क्या हुआ (संक्षेप में)
  • कलरबॉक्स लाइटबॉक्स क्या करता है और बग क्यों महत्वपूर्ण है
  • कमजोरी को सरल अंग्रेजी में (तकनीकी अवलोकन)
  • कौन जोखिम में है और शोषण कितना व्यावहारिक है
  • प्रत्येक साइट के मालिक को तुरंत उठाने चाहिए कदम
  • यदि आप तुरंत अपडेट नहीं कर सकते — सुरक्षित शमन और आभासी पैचिंग
  • एक प्रबंधित WAF इस प्रकार के जोखिम को कैसे कम करता है
  • विस्तृत घटना प्रतिक्रिया चेकलिस्ट (यदि आपको लगता है कि आप समझौता किए गए हैं)
  • डेवलपर मार्गदर्शन — जब आप प्लगइन्स/थीम्स बनाए रखते हैं तो XSS को कैसे ठीक करें
  • घटना के बाद की हार्डनिंग और निगरानी
  • सुधार का परीक्षण और मान्यता
  • अंतिम नोट्स और आगे की पढ़ाई

क्या हुआ (संक्षेप में)

कलरबॉक्स लाइटबॉक्स वर्डप्रेस प्लगइन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरी (जो 1.1.5 तक के संस्करणों को प्रभावित करती है) का खुलासा किया गया और इसे CVE-2025-49397 सौंपा गया। विक्रेता ने एक सुधार के साथ संस्करण 1.1.6 जारी किया। यह दोष एक हमलावर को अनुमति देता है जो कुछ इनपुट प्रदान कर सकता है (रिपोर्टों से संकेत मिलता है कि योगदानकर्ता स्तर की विशेषाधिकार पर्याप्त हो सकती हैं) को दुर्भावनापूर्ण जावास्क्रिप्ट या HTML इंजेक्ट करने की अनुमति देता है जो साइट के आगंतुकों के लिए प्रस्तुत किया जाता है। परिणामों में रीडायरेक्ट, सत्र चोरी, अवांछित विज्ञापन/पॉप-अप, या आगे के मैलवेयर इंजेक्शन शामिल हैं।.

कलरबॉक्स लाइटबॉक्स क्या करता है और बग क्यों महत्वपूर्ण है

कलरबॉक्स लाइटबॉक्स छवियों, गैलरी और मीडिया को एक ओवरले में प्रस्तुत करता है। लाइटबॉक्स प्लगइन्स मार्कअप और विशेषताओं को पृष्ठ में प्रस्तुत करते हैं - शीर्षक, कैप्शन, डेटा-विशेषताएँ और इनलाइन मार्कअप - और इन्हें ब्राउज़र द्वारा पार्स किया जाता है। यदि उपयोगकर्ता-प्रदत्त सामग्री को उचित एस्केपिंग के बिना उन संदर्भों में प्रतिध्वनित किया जाता है, तो संग्रहीत XSS संभव हो जाता है: हमलावर-प्रदत्त कोड आगंतुकों के ब्राउज़रों में निष्पादित होता है।.

यह क्यों महत्वपूर्ण है:

  • लाइटबॉक्स आउटपुट अक्सर सीधे फ्रंट-एंड HTML में एम्बेड किया जाता है जहां ब्राउज़र स्क्रिप्ट या इनलाइन इवेंट हैंडलर्स को निष्पादित करते हैं।.
  • योगदानकर्ता स्तर के खाते कई साइटों पर सामग्री अपलोड कर सकते हैं; एक दुर्भावनापूर्ण या समझौता किया गया योगदानकर्ता एक कार्यशील वेक्टर हो सकता है।.
  • एक ही संग्रहीत XSS संक्रमित पृष्ठ पर हर आगंतुक को प्रभावित कर सकता है।.

कमजोरी को सरल अंग्रेजी में (तकनीकी अवलोकन)

  • कमजोरियों का प्रकार: क्रॉस-साइट स्क्रिप्टिंग (XSS) — आउटपुट सही तरीके से साफ/एस्केप नहीं किया गया।.
  • प्रभावित संस्करण: Colorbox Lightbox ≤ 1.1.5
  • ठीक किया गया: Colorbox Lightbox 1.1.6
  • CVE: CVE-2025-49397
  • रिपोर्ट की गई विशेषता: योगदानकर्ता (कम-से-मध्यम विशेषता)

मूल कारण (सामान्य): प्लगइन ने उपयोगकर्ता द्वारा प्रदान किए गए इनपुट (छवि शीर्षक, कैप्शन, लिंक विशेषताएँ या डेटा-विशेषताएँ) को स्वीकार किया और उस इनपुट को फ्रंट-एंड HTML में सही एस्केपिंग के बिना इंजेक्ट किया। इससे स्क्रिप्ट टैग, इवेंट हैंडलर्स (जैसे onclick) या javascript: URI का इंजेक्शन संभव हो गया, जिसे ब्राउज़र निष्पादित करेगा।.

साइट के मालिक जो कई इंस्टॉलेशन या एक फोर्क किए गए प्लगइन को बनाए रखते हैं, उन्हें 1.1.5 और 1.1.6 के बीच प्लगइन डिफ की समीक्षा करनी चाहिए ताकि यह पुष्टि हो सके कि कौन से कोड पथ बदले गए।.

कौन जोखिम में है और शोषण कितना व्यावहारिक है

जोखिम प्रोफ़ाइल:

  • वे साइटें जो योगदानकर्ता-या-उच्च उपयोगकर्ताओं को मीडिया अपलोड/संपादित करने की अनुमति देती हैं, तत्काल जोखिम में हैं।.
  • सार्वजनिक उपयोगकर्ता द्वारा प्रस्तुत छवियों, सामुदायिक गैलरी या ग्राहक अपलोड को स्वीकार करने वाली साइटें उच्च जोखिम में हैं।.
  • स्वचालित स्कैनर कमजोर प्लगइन को खोज सकते हैं और शोषण योग्य इनपुट फ़ील्ड के लिए जांच कर सकते हैं।.

व्यावहारिक परिणाम:

  • सत्र कुकी चोरी या सत्र स्थिरीकरण (कुकी ध्वजों के आधार पर)।.
  • फ़िशिंग या मैलवेयर पृष्ठों पर ड्राइव-बाय रीडायरेक्ट।.
  • दुर्भावनापूर्ण विज्ञापन, सामग्री दमन, या विकृति।.
  • यदि हमलावरों को आगे की पहुंच मिलती है तो बैकडोर के माध्यम से संभावित स्थिरता।.

प्रत्येक साइट के मालिक को तुरंत उठाने चाहिए कदम

  1. तुरंत अपडेट करें।. यदि आप Colorbox Lightbox चला रहे हैं, तो जितनी जल्दी हो सके 1.1.6 या बाद के संस्करण में अपडेट करें — यह प्राथमिक समाधान है।.
  2. यदि आप अभी अपडेट नहीं कर सकते, तो प्लगइन को निष्क्रिय करें।. इसे निष्क्रिय करें जब तक कि आप सुरक्षित रूप से परीक्षण और पैच नहीं कर सकते।.
  3. योगदानकर्ता और लेखक खातों का ऑडिट करें।. योगदानकर्ता खातों की पुष्टि करें, अज्ञात उपयोगकर्ताओं को निष्क्रिय करें, पासवर्ड रीसेट करें और विशेषाधिकार प्राप्त खातों के लिए मजबूत प्रमाणीकरण लागू करें।.
  4. इंजेक्टेड स्क्रिप्ट के लिए फ्रंट-एंड पृष्ठों की जांच करें।. गैलरी पृष्ठों या मीडिया कैप्शन में अप्रत्याशित टैग, इनलाइन इवेंट हैंडलर्स, या अपरिचित जावास्क्रिप्ट की खोज करें। यदि आवश्यक हो तो समझौता किए गए पृष्ठों को ऑफ़लाइन ले जाएं।.
  5. एक पूर्ण मैलवेयर स्कैन चलाएँ।. ज्ञात पेलोड और समझौते के संकेतों के लिए स्कैन करें, अपलोड की गई मीडिया मेटाडेटा और हाल की सामग्री वस्तुओं पर ध्यान केंद्रित करें।.
  6. सर्वर और एक्सेस लॉग की समीक्षा करें।. संदिग्ध POSTs, अप्रत्याशित फ़ाइल लेखन, या समान IPs से बार-बार अनुरोधों की तलाश करें।.
  7. साइट और डेटाबेस का बैकअप लें।. व्यापक परिवर्तनों से पहले एक पूर्ण बैकअप बनाएं ताकि यदि आवश्यक हो तो आप वापस रोल कर सकें।.
  8. क्रेडेंशियल्स और एपीआई कुंजियों को घुमाएं।. यदि समझौता होने का संदेह है, तो व्यवस्थापक पासवर्ड, सेवा खाता कुंजी और सार्वजनिक-फेसिंग टोकन को घुमाएं।.

यदि आप तुरंत अपडेट नहीं कर सकते — सुरक्षित शमन और आभासी पैचिंग

अपग्रेड करना अनुशंसित समाधान है। यदि बाधाएँ अपडेट में देरी करती हैं, तो इन उपायों पर विचार करें:

  • प्लगइन को अस्थायी रूप से निष्क्रिय करें।. यह सबसे सुरक्षित है। यदि आपको इसे सक्रिय रखना है, तो उन लोगों को सीमित करें जो प्लगइन द्वारा उपयोग किए जाने वाले इनपुट को बना या संपादित कर सकते हैं: केवल विश्वसनीय व्यवस्थापक ही चित्र और गैलरी अपलोड या संपादित करें।.
  • सार्वजनिक-फेसिंग अपलोड फ़ॉर्म हटा दें।. पैच होने तक अपलोड को निष्क्रिय या सीमित करें।.
  • अनुरोध फ़िल्टरिंग या वर्चुअल पैच लागू करें।. उन अनुरोधों को ब्लॉक करने के लिए नियम लागू करें जो शीर्षक/कैप्शन पैरामीटर में सामान्य XSS पेलोड शामिल करते हैं (उदाहरण के लिए “<script”, “onerror=”, “onload=”, या “javascript:” वाले स्ट्रिंग)। डेटा फ़ील्ड में HTML विशेषताओं को इंजेक्ट करने के प्रयासों को ब्लॉक करें और स्वचालित परीक्षण को कम करने के लिए अपलोड एंडपॉइंट्स को थ्रॉटल करें।.
  • रिपोर्ट-केवल मोड में एक सामग्री सुरक्षा नीति (CSP) लागू करें।. CSP का उपयोग करके इनलाइन स्क्रिप्ट को ब्लॉक करने का परीक्षण करें और लागू करने से पहले इसे परिष्कृत करें।.
  • रनटाइम पर उपयोगकर्ता सामग्री को साफ करें।. यदि आप थीम या कस्टम कोड को नियंत्रित करते हैं, तो प्रदर्शित फ़ील्ड के लिए सर्वर-साइड सैनिटाइजेशन/एस्केपिंग जोड़ें - यह पैचिंग का विकल्प नहीं है, बल्कि एक अल्पकालिक जोखिम में कमी है।.

चेतावनी: वर्चुअल पैचिंग और कस्टम अनुरोध फ़िल्टर यदि बहुत व्यापक रूप से लागू किए जाएं तो वैध कार्यक्षमता को तोड़ सकते हैं। किसी भी नियम का पहले स्टेजिंग पर परीक्षण करें और झूठे सकारात्मक के लिए लॉग की समीक्षा करें।.

एक प्रबंधित WAF इस प्रकार के जोखिम को कैसे कम करता है

एक प्रबंधित वेब एप्लिकेशन फ़ायरवॉल (WAF) एक सुरक्षात्मक परत के रूप में कार्य कर सकता है ताकि शोषण के प्रयासों को एप्लिकेशन तक पहुँचने से रोका जा सके। इस तरह की XSS कमजोरियों के लिए, एक WAF कर सकता है:

  • प्लगइन एंडपॉइंट्स और फ़ील्ड्स को लक्षित करने वाले सामान्य XSS पेलोड्स को शामिल करने वाले अनुरोधों को ब्लॉक करें।.
  • व्यवहार, आवृत्ति और पेलोड हस्ताक्षर के आधार पर स्वचालित स्कैनर और शोषण के प्रयासों का पता लगाएं और रोकें।.
  • वर्चुअल पैचिंग प्रदान करें: शोषण पैटर्न से मेल खाने वाले दुर्भावनापूर्ण अनुरोधों को ब्लॉक करें जबकि आप आधिकारिक प्लगइन अपडेट का परीक्षण और तैनात करते हैं।.
  • संदिग्ध गतिविधियों पर लॉग और अलर्ट करें ताकि प्रशासक जल्दी प्रतिक्रिया कर सकें।.

एक WAF एक शमन परत है - यह जोखिम को कम करता है और समय खरीदता है, लेकिन यह विक्रेता के फिक्स और सुरक्षित कोडिंग प्रथाओं को लागू करने का स्थान नहीं लेता है।.

विस्तृत घटना प्रतिक्रिया चेकलिस्ट (यदि आपको लगता है कि आप समझौता किए गए हैं)

  1. अलग करें।. कमजोर प्लगइन को अक्षम करें या प्रभावित पृष्ठों को तुरंत ऑफ़लाइन ले जाएं।.
  2. सबूत को संरक्षित करें।. लॉग, संदिग्ध पृष्ठों की प्रतियां और डेटाबेस निर्यात सहेजें। लॉग को अधिलेखित न करें।.
  3. संकेतकों के लिए स्कैन करें।. अज्ञात PHP फ़ाइलों, संशोधित फ़ाइलों, वेब शेल, दुर्भावनापूर्ण क्रोन कार्यों की तलाश करें और अप्रत्याशित टैग या संदिग्ध base64 स्ट्रिंग के लिए डेटाबेस की खोज करें।.
  4. दुर्भावनापूर्ण सामग्री को हटा दें।. पृष्ठों, पोस्ट और मीडिया मेटाडेटा से इंजेक्ट किए गए स्क्रिप्ट को हटा दें। यदि सुनिश्चित नहीं हैं, तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.
  5. क्रेडेंशियल बदलें।. विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए पासवर्ड रीसेट करने के लिए मजबूर करें और रहस्यों को घुमाएं।.
  6. स्थिरता की जांच करें।. अतिरिक्त व्यवस्थापक उपयोगकर्ताओं, अनुसूचित कार्यों, या संशोधित थीम/प्लगइन फ़ाइलों की खोज करें।.
  7. मजबूत करें।. अपडेट लागू करें, सुरक्षा हेडर जोड़ें और उपयुक्त अनुरोध फ़िल्टरिंग या WAF नियम सक्षम करें।.
  8. हितधारकों को सूचित करें।. यदि आगंतुक डेटा उजागर हुआ है, तो नीति या कानूनी आवश्यकताओं के अनुसार प्रभावित पक्षों को सूचित करें।.
  9. घटना के बाद की समीक्षा।. घटना का दस्तावेजीकरण करें और भविष्य के जोखिम को कम करने के लिए प्रक्रियाओं को अपडेट करें।.

डेवलपर मार्गदर्शन — जब आप प्लगइन्स/थीम्स बनाए रखते हैं तो XSS को कैसे ठीक करें

यदि आप प्लगइन्स/थीम लिखते हैं या बनाए रखते हैं, तो इन ठोस नियंत्रणों को लागू करें:

  • संदर्भ में भागें: HTML शरीर के लिए esc_html(); HTML विशेषताओं के लिए esc_attr(); JavaScript संदर्भों के लिए wp_json_encode() या json_encode(); URLs के लिए esc_url() का उपयोग करें।.
  • इनपुट पर सैनीटाइज करें, आउटपुट पर एस्केप करें: सीमित HTML के लिए sanitize_text_field(), wp_kses_post() का उपयोग करें, या उपयोगकर्ता द्वारा प्रदान किए गए मार्कअप के लिए एक सख्त अनुमति सूची। याद रखें कि सफाई आउटपुट एस्केपिंग का विकल्प नहीं है।.
  • वर्डप्रेस एपीआई का उपयोग करें: HTML को मैन्युअल रूप से बनाने के बजाय get_attachment_link(), wp_get_attachment_image() और अन्य कोर सहायक का उपयोग करें।.
  • क्षमताओं की पुष्टि करें: सुनिश्चित करें कि केवल उचित विशेषाधिकार प्राप्त उपयोगकर्ता संवेदनशील क्षेत्रों को संशोधित कर सकते हैं।.
  • राज्य परिवर्तनों की रक्षा करें: अपलोड और संपादनों के लिए नॉनसेस और क्षमता जांच का उपयोग करें।.
  • मीडिया मेटाडेटा को अविश्वसनीय इनपुट के रूप में मानें: सहेजने और रेंडर करते समय अटैचमेंट शीर्षकों, कैप्शन और वैकल्पिक पाठ को साफ और एस्केप करें।.
  • कोड समीक्षा और परीक्षण: सुरक्षा-केंद्रित कोड समीक्षाओं को शामिल करें और असुरक्षित आउटपुट पथों को पकड़ने के लिए स्थैतिक विश्लेषण या लिंटर्स का उपयोग करें।.

यदि आप Colorbox Lightbox या समान कोड बनाए रखते हैं, तो हर जगह उपयोगकर्ता इनपुट को HTML विशेषताओं या इनलाइन JavaScript से मैप करें और लक्षित संदर्भ के लिए सही एस्केपिंग सुनिश्चित करें।.

घटना के बाद की हार्डनिंग और निगरानी

  • कम जोखिम वाले प्लगइन्स के लिए स्वचालित अपडेट सक्षम करें या अपडेट के लिए नियमित परीक्षण चक्र अपनाएं।.
  • योगदानकर्ता खातों को सीमित करें और अतिथि सामग्री (मॉडरेशन कतारों) के लिए सख्त कार्यप्रवाह अपनाएं।.
  • फ़ाइल अपलोड हैंडलिंग को मजबूत करें: प्रकारों को प्रतिबंधित करें, मेटाडेटा सामग्री को सीमित करें और अपलोड पर वायरस स्कैनिंग चलाएं।.
  • प्रशासनिक पहुंच के लिए मजबूत पासवर्ड और बहु-कारक प्रमाणीकरण लागू करें।.
  • निरंतर सुरक्षा और आभासी पैचिंग क्षमता प्रदान करने के लिए WAF और नियमित मैलवेयर स्कैनिंग पर विचार करें।.
  • संस्करणन के साथ नियमित ऑफ-साइट बैकअप बनाए रखें।.
  • लॉग की निगरानी करें और संदिग्ध व्यवहार (मास अपलोड, उच्च-आवृत्ति POSTs, बार-बार त्रुटियों) के लिए अलर्ट सेट करें।.
  • सुरक्षा हेडर लागू करें: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy।.
  • चरणबद्ध तैनाती कार्यप्रवाह अपनाएं और उत्पादन रोलआउट से पहले स्टेजिंग पर अपग्रेड का परीक्षण करें।.

सुधार का परीक्षण और मान्यता

  • पुष्टि करें कि वर्डप्रेस प्रशासन में प्लगइन संस्करण 1.1.6 या बाद का है।.
  • XSS हस्ताक्षर के लिए प्रभावित पृष्ठों को स्वचालित स्कैनरों के साथ फिर से स्कैन करें।.
  • उचित एस्केपिंग की पुष्टि करने के लिए सुरक्षित परीक्षण स्ट्रिंग्स के साथ प्रमुख इनपुट (छवि शीर्षक, कैप्शन, गैलरी फ़ील्ड) का मैन्युअल परीक्षण करें।.
  • यदि आपने CSP लागू किया है, तो पहले इसे केवल रिपोर्ट मोड में चलाएं और प्रवर्तन से पहले झूठे सकारात्मक के लिए रिपोर्ट की समीक्षा करें।.
  • यह सुनिश्चित करने के लिए अवरुद्ध प्रयासों के लिए एक्सेस और WAF लॉग की समीक्षा करें कि शमन नियम काम कर रहे हैं और वैध उपयोगकर्ताओं को अवरुद्ध नहीं कर रहे हैं।.

अंतिम नोट्स और आगे की पढ़ाई

अधिकांश साइट मालिकों के लिए व्यावहारिक सलाह: तुरंत Colorbox Lightbox को 1.1.6 में अपडेट करें और योगदानकर्ता कार्यप्रवाहों की पुष्टि करें। उन साइटों के लिए जो तुरंत अपडेट नहीं कर सकती हैं, अस्थायी रूप से प्लगइन को निष्क्रिय करें या सावधानीपूर्वक अनुरोध फ़िल्टरिंग और एक्सेस प्रतिबंध लागू करें। सभी उपयोगकर्ता-जनित सामग्री को डिफ़ॉल्ट रूप से अविश्वसनीय मानें और सामग्री संपादकों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें।.

यदि आप सुनिश्चित नहीं हैं कि आपकी साइट सुरक्षित है, तो अपने होस्टिंग प्रदाता से संपर्क करें या पूर्ण समीक्षा के लिए एक पेशेवर सुरक्षा ऑडिटर को नियुक्त करें। पैचिंग, एक्सेस नियंत्रण, स्वच्छता/एस्केपिंग और निगरानी का संयोजन सफल शोषण के अवसर को महत्वपूर्ण रूप से कम करेगा।.

यदि आपको सहायता की आवश्यकता है, तो एक विश्वसनीय सुरक्षा सलाहकार या अपने होस्टिंग समर्थन टीम से संपर्क करें - बाहरी सामग्री स्वीकार करने वाली उत्पादन साइटों पर सुधार में देरी न करें।.

आगे पढ़ने के लिए:

  • CVE-2025-49397
  • वर्डप्रेस डेवलपर संदर्भ: एस्केपिंग और स्वच्छता कार्य
  • OWASP: क्रॉस-साइट स्क्रिप्टिंग (XSS) चीट शीट


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा अलर्ट Themify आइकन XSS(CVE202549395)

अगला लेख —

HK सुरक्षा अलर्ट Themify Audio Dock XSS(CVE202549392)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

थेमिफाई बिल्डर स्टोर्ड क्रॉस साइट स्क्रिप्टिंग भेद्यता(CVE20259353)

  • सितम्बर 24, 2025
वर्डप्रेस थेमिफाई बिल्डर प्लगइन <= 7.6.9 - प्रमाणित (योगदानकर्ता+) स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग भेद्यता