Wवर्डप्रेस भेद्यता डेटाबेस

समुदाय सलाह CSRF वर्डप्रेस URL प्लगइन में (CVE20261398)

वर्डप्रेस Change WP URL प्लगइन में क्रॉस साइट अनुरोध धोखाधड़ी (CSRF)
0
शेयर
0
0
0
0






Cross‑Site Request Forgery (CSRF) in “Change WP URL” (<= 1.0) — What It Means and How to Protect Your Site


प्लगइन का नाम WP URL बदलें
कमजोरियों का प्रकार क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF)
CVE संख्या CVE-2026-1398
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2026-01-27
स्रोत URL CVE-2026-1398

“WP URL बदलें” में क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) (<= 1.0) — इसका क्या मतलब है और अपने साइट की सुरक्षा कैसे करें

प्रकाशित: 2026-01-28 — लेखक: हांगकांग सुरक्षा विशेषज्ञ

सारांश: हाल ही में एक भेद्यता (CVE‑2026‑1398) “WP URL बदलें” वर्डप्रेस प्लगइन (संस्करण ≤ 1.0) में उजागर की गई। यह समस्या एक क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) है जो प्लगइन की सेटिंग अपडेट कार्यक्षमता को लक्षित करती है। हालांकि भेद्यता के लिए एक विशेषाधिकार प्राप्त उपयोगकर्ता (उदाहरण के लिए, एक प्रशासक जो एक तैयार पृष्ठ पर जाता है) द्वारा इंटरैक्शन की आवश्यकता होती है, एक हमलावर इसका उपयोग सेटिंग अपडेट को मजबूर करने के लिए कर सकता है — संभावित रूप से साइट को तोड़ना, ट्रैफ़िक को पुनर्निर्देशित करना, या अन्य पोस्ट-एक्सप्लॉइटेशन क्रियाएँ सक्षम करना। यह पोस्ट तकनीकी मूल कारण, वास्तविक प्रभाव परिदृश्य, पहचान और फोरेंसिक कदम, और परतदार शमन उपायों को समझाती है जिन्हें आप तुरंत लागू कर सकते हैं।.

सामग्री की तालिका

  • पृष्ठभूमि और उच्च-स्तरीय तकनीकी सारांश
  • वर्डप्रेस प्लगइन्स में CSRF क्यों महत्वपूर्ण है
  • WP URL CSRF क्या अनुमति देता है (हमला परिदृश्य)
  • कमजोरी कैसे काम करती है (तकनीकी विश्लेषण)
  • कैसे पता करें कि आपकी साइट को लक्षित किया गया था या बदला गया
  • तात्कालिक शमन कदम (अब क्या करें)
  • साइट मालिकों के लिए मजबूत और दीर्घकालिक समाधान
  • प्लगइन डेवलपर्स के लिए मार्गदर्शन (सुरक्षित कोडिंग)
  • विक्रेता-न्यूट्रल सुरक्षा उपाय
  • व्यावहारिक वॉकथ्रू: चरण-दर-चरण क्रियाएँ
  • सामान्य प्रश्न और समापन विचार
  • संदर्भ

पृष्ठभूमि और उच्च-स्तरीय तकनीकी सारांश

28 जनवरी 2026 को “WP URL बदलें” वर्डप्रेस प्लगइन (संस्करण ≤ 1.0) में एक क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) भेद्यता सार्वजनिक की गई और इसे CVE‑2026‑1398 सौंपा गया। प्लगइन एक सेटिंग अपडेट एंडपॉइंट को उजागर करता है जिसे वर्डप्रेस नॉन्स की पुष्टि किए बिना या वर्तमान उपयोगकर्ता की क्षमताओं की उचित जांच किए बिना सक्रिय किया जा सकता है। परिणामस्वरूप, एक हमलावर एक लिंक या पृष्ठ तैयार कर सकता है जो, जब एक लॉग-इन प्रशासक (या अन्य विशेषाधिकार प्राप्त उपयोगकर्ता) द्वारा देखा जाता है, तो साइट सेटिंग्स में अवांछित परिवर्तन करेगा — विशेष रूप से वर्डप्रेस पता (siteurl) और साइट पता (home) मान।.

शोषण के लिए उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है: एक प्रमाणित विशेषाधिकार प्राप्त उपयोगकर्ता को हमलावर पृष्ठ पर जाना या एक दुर्भावनापूर्ण लिंक पर क्लिक करना चाहिए। यह हमलावर को लक्षित साइट पर पहले से एक खाता रखने की आवश्यकता नहीं है। चूंकि प्रशासक आमतौर पर अपने ब्राउज़रों में लॉग इन रहते हैं, CSRF एक व्यावहारिक और खतरनाक वेक्टर बना रहता है।.

साइट URL बदलने से साइट की अनुपलब्धता, ट्रैफ़िक पुनर्निर्देशन, SEO क्षति, और श्रृंखलाबद्ध हमलों को सक्षम करने का कारण बन सकता है। यहां तक कि जब CVSS स्कोर मध्यम होता है, तो संचालन पर प्रभाव महत्वपूर्ण हो सकता है — इसे तात्कालिकता के साथ संभालें।.

वर्डप्रेस प्लगइन्स में CSRF क्यों महत्वपूर्ण है

CSRF एक साइट और एक प्रमाणित उपयोगकर्ता के ब्राउज़र के बीच विश्वास का शोषण करता है। यदि एक स्थिति-परिवर्तन अनुरोध (उदाहरण के लिए, सेटिंग अपडेट करना) को तैयार किया जा सकता है और सर्वर द्वारा स्वीकार किया जा सकता है क्योंकि यह एक अधिकृत उपयोगकर्ता से आता हुआ प्रतीत होता है, तो हमलावर उस उपयोगकर्ता के संदर्भ में क्रियाएँ कर सकते हैं।.

वर्डप्रेस में महत्वपूर्ण रक्षा उपाय शामिल हैं:

  • फॉर्म सबमिशन और AJAX एंडपॉइंट्स पर नॉनस की पुष्टि करना।.
  • सेटिंग्स में बदलाव लागू करने से पहले वर्तमान उपयोगकर्ता क्षमताओं की जांच करना (उदाहरण, current_user_can('manage_options') की पुष्टि करने में विफलता)।.
  • संदर्भ जांच और SameSite कुकी विशेषताओं का उपयोग द्वितीयक रक्षा के रूप में करना।.
  • प्रशासनिक पहुंच को प्रतिबंधित करना और विशेषाधिकार प्राप्त खातों के लिए बहु-कारक प्रमाणीकरण (MFA) को लागू करना।.

जब प्लगइन लेखक नॉनस सत्यापन या क्षमता जांच को छोड़ देते हैं, तो CSRF सीधा हो जाता है: हमलावर को बस एक तैयार अनुरोध को सामाजिक इंजीनियरिंग के साथ जोड़ने की आवश्यकता होती है और लॉग इन किए गए प्रशासनिक उपयोगकर्ता के इसे ट्रिगर करने की प्रतीक्षा करनी होती है।.

Change WP URL CSRF क्या अनुमति देता है (वास्तविक हमले के परिदृश्य)

यदि इस CSRF को सफलतापूर्वक ट्रिगर किया जाता है तो वास्तविक परिणाम:

  1. साइट URL परिवर्तन और लॉकआउट — एक हमलावर अपडेट करता है साइटयूआरएल/होम एक विदेशी डोमेन या एक अप्राप्य पते पर, जिससे साइट अप्राप्य हो जाती है और मैनुअल डेटाबेस सुधार की आवश्यकता होती है।.
  2. फ़िशिंग और ट्रैफ़िक पुनर्निर्देशन — आगंतुकों को हमलावर-नियंत्रित पृष्ठों पर पुनर्निर्देशित करना जो फ़िशिंग सामग्री या मैलवेयर प्रदान करते हैं।.
  3. SEO विषाक्तता और विश्लेषण धोखाधड़ी — कैनोनिकल URLs या पुनर्निर्देशन पैटर्न को बदलकर अनुक्रमण और विश्लेषण में हेरफेर करना।.
  4. द्वितीयक हमलों के लिए चेनिंग — दूरस्थ संसाधनों की अनुमति देने के लिए सेटिंग्स को संशोधित करना या सुरक्षा को कमजोर करना, फिर सामग्री इंजेक्शन या क्रेडेंशियल हार्वेस्टिंग जैसे आगे के समझौते करना।.
  5. एकीकरण तोड़ना — लाइसेंस जांच, थीम/प्लगइन संपत्ति पथ, और बाहरी एकीकरण अप्रत्याशित रूप से कैनोनिकल URLs बदलने पर विफल हो सकते हैं।.

नोट: हमलावर को आमतौर पर केवल एक प्रमाणित विशेषाधिकार प्राप्त उपयोगकर्ता की आवश्यकता होती है जो एक तैयार पृष्ठ पर जाए; उन्हें प्रशासनिक खाता क्रेडेंशियल्स को समझौता करने की आवश्यकता नहीं होती।.

कमजोरी कैसे काम करती है (तकनीकी विश्लेषण)

उच्च-स्तरीय तकनीकी मूल कारण:

  • प्लगइन एक सेटिंग हैंडलर को उजागर करता है जो नए साइट यूआरएल के लिए पैरामीटर स्वीकार करता है।.
  • हैंडलर अपडेट करता है 11. संदिग्ध सामग्री के साथ। (साइटयूआरएल 8. और होम) बिना कॉल किए check_admin_referer() या नॉनस की पुष्टि किए बिना, और बिना पुष्टि किए current_user_can('manage_options') की पुष्टि करने में विफलता.
  • क्योंकि वर्डप्रेस प्रमाणीकरण ब्राउज़र में सेट किए गए कुकीज़ पर निर्भर करता है, एक तैयार किया गया POST (स्वतः-प्रस्तुत फॉर्म या हमलावर JS) उस लॉग-इन प्रशासक के संदर्भ में निष्पादित होगा जो हमलावर पृष्ठ पर जाता है।.
  • मूल कारण संवेदनशील परिवर्तनों को लागू करने से पहले नॉनस और क्षमता जांचों की अनुपस्थिति है।.

सुरक्षित हैंडलिंग की याददिहानी: हमेशा क्षमताओं की पुष्टि करें, नॉनस को लागू करें, इनपुट को साफ करें, और अनधिकृत संदर्भों में स्थिति-परिवर्तक एंडपॉइंट्स को उजागर करने से बचें।.

कैसे पता करें कि आपकी साइट को लक्षित किया गया था या बदला गया

यदि आप प्लगइन का उपयोग करते हैं, तो तुरंत ये जांचें करें:

  1. साइट सेटिंग्स की जांच करें — WP प्रशासक > सेटिंग्स > सामान्य: पुष्टि करें वर्डप्रेस पता (यूआरएल) 8. और साइट पता (यूआरएल).
  2. डेटाबेस विकल्पों का निरीक्षण करें — क्वेरी 11. संदिग्ध सामग्री के साथ। के लिए साइटयूआरएल 8. और होम मान।.
  3. लॉग और इतिहास की जांच करें — प्लगइन एंडपॉइंट्स के लिए POST अनुरोधों के लिए गतिविधि/ऑडिट लॉग और वेब सर्वर लॉग की समीक्षा करें, admin-post.php, या admin-ajax.php जो यूआरएल पैरामीटर ले जा रहे हैं।.
  4. प्रशासक सत्रों की समीक्षा करें — अपरिचित प्रशासन सत्रों या अप्रत्याशित IP पतों से लॉगिन की जांच करें।.
  5. फ़ाइल सिस्टम स्कैन करें — संशोधित या जोड़े गए फ़ाइलों के लिए अखंडता जांच और मैलवेयर स्कैनर का उपयोग करें।.
  6. रीडायरेक्ट और DNS की जांच करें — यदि रीडायरेक्ट होते हैं, तो .htaccess/nginx नियमों और DNS रिकॉर्ड की समीक्षा करें।.
  7. सुरक्षित रूप से वापस लौटें — यदि लॉक आउट हो गए हैं, तो पुनर्स्थापित करें साइटयूआरएल/होम डेटाबेस से या अस्थायी रूप से उन्हें परिभाषित करें wp-config.php पहुँच पुनः प्राप्त करने के लिए।.

यदि परिवर्तन पाए जाते हैं, तो साइट को अलग करने पर विचार करें (रखरखाव मोड, IP श्वेतसूची) जब तक जांच समाप्त न हो जाए।.

तात्कालिक शमन कदम (अब क्या करें)

  1. एक पूर्ण बैकअप बनाएं — फोरेंसिक अखंडता बनाए रखने के लिए किसी भी सुधार से पहले फ़ाइलों और डेटाबेस को सुरक्षित रखें।.
  2. कमजोर प्लगइन को निष्क्रिय या हटा दें — सबसे विश्वसनीय तात्कालिक समाधान यह है कि दोषपूर्ण प्लगइन को निष्क्रिय करें जब तक कि इसे पैच न किया जाए।.
  3. प्रशासनिक पहुँच को सीमित करें — यदि संभव हो, तो प्रतिबंधित करें /wp-admin/ IP द्वारा या सर्वर स्तर पर HTTP बेसिक ऑथ का उपयोग करें।.
  4. पुनः प्रमाणीकरण को मजबूर करें और MFA सक्षम करें — प्रशासकों को पुनः प्रमाणीकरण की आवश्यकता होती है और सत्र-आधारित जोखिम को कम करने के लिए MFA सक्षम करें।.
  5. छेड़छाड़ के लिए स्कैन करें — मैलवेयर और अखंडता स्कैन करें; संदिग्ध अनुसूचित कार्यों और अज्ञात प्रशासन उपयोगकर्ताओं की जांच करें।.
  6. लॉग की निगरानी करें और अस्थायी WAF नियम लागू करें — अस्थायी रूप से प्लगइन की सेटिंग्स एंडपॉइंट्स पर अनुरोधों को ब्लॉक करें या अविश्वसनीय स्रोतों से परिवर्तन करने के प्रयासों को ब्लॉक करें। साइटयूआरएल/होम अविश्वसनीय स्रोतों से।.
  7. प्रशासकों को सूचित करें — साइट को सुरक्षित करते समय अविश्वसनीय लिंक पर क्लिक करने से बचने के लिए साइट के रखरखाव करने वालों को सूचित करें।.
  8. पुनर्स्थापन की योजना — यदि परिवर्तन हुए हैं, तो बैकअप से विश्वसनीय मानों को पुनर्स्थापित करें और कार्यक्षमता को फिर से सक्रिय करने से पहले साइट की अखंडता को फिर से मान्य करें।.

साइट मालिकों के लिए मजबूत और दीर्घकालिक समाधान

  • न्यूनतम विशेषाधिकार का सिद्धांत — व्यवस्थापक खातों की संख्या को कम करें; दैनिक संपादन के लिए कम विशेषाधिकार का उपयोग करें।.
  • MFA लागू करें — विशेषाधिकार प्राप्त खातों की सुरक्षा के लिए मल्टी-फैक्टर प्रमाणीकरण का उपयोग करें।.
  • सॉफ़्टवेयर को अपडेट रखें — नियमित रूप से वर्डप्रेस कोर, थीम और प्लगइन्स को पैच करें।.
  • स्तरित सुरक्षा का उपयोग करें — जहां उपयुक्त हो, सर्वर-स्तरीय हार्डनिंग और वर्चुअल पैचिंग पर विचार करें (WAF, रिवर्स प्रॉक्सी), जो विक्रेता-न्यूट्रल तरीके से लागू किया गया हो।.
  • व्यवस्थापक एंडपॉइंट्स की सुरक्षा करें — wp-admin तक पहुंच को IP या अन्य मजबूत नियंत्रणों द्वारा प्रतिबंधित करें।.
  • लॉगिंग और ऑडिट ट्रेल्स में सुधार करें — फोरेंसिक विश्लेषण के लिए ऑफसाइट लॉग बनाए रखें।.
  • कुकीज़ और हेडर को मजबूत करें — CSRF और सत्र चोरी को कम करने के लिए सुरक्षित कुकी फ्लैग और उपयुक्त SameSite सेटिंग्स का उपयोग करें।.
  • आवधिक सुरक्षा आकलन — गायब नॉनसेस और अनुचित क्षमता जांच का पता लगाने के लिए ऑडिट और स्वचालित स्कैन करें।.

प्लगइन डेवलपर्स के लिए मार्गदर्शन (सुरक्षित कोडिंग)

डेवलपर्स को इस घटना को वर्डप्रेस के लिए कोर सुरक्षित कोडिंग प्रथाओं की याद दिलाने के रूप में लेना चाहिए।.

  • क्षमता को मान्य करें — उदाहरण: 
    if ( ! current_user_can( 'manage_options' ) ) {
  • नॉनस की पुष्टि करें — फॉर्म सबमिशन के लिए उपयोग करें: 
    check_admin_referer( 'change_wp_url_action', 'change_wp_url_nonce' );
  • इनपुट को साफ़ करें और मान्य करें — URLs के लिए, उपयोग करें esc_url_raw() और मान्य करें filter_var(..., FILTER_VALIDATE_URL).
  • एंडपॉइंट्स को सीमित करें — स्थिति-परिवर्तक हैंडलर्स को केवल प्रशासनिक संदर्भों तक सीमित रखें।.
  • अनुमति कॉलबैक के साथ REST का उपयोग करें — REST एंडपॉइंट्स को उजागर करते समय, सही अनुमति जांच के साथ पंजीकरण करें।.

उदाहरण: सुरक्षित सेटिंग्स POST हैंडलर

नीचे एक सेटिंग्स हैंडलर (PHP) के लिए एक सुरक्षित पैटर्न है। इसे संपादकों में सुरक्षित कॉपी/पेस्ट के लिए HTML एस्केपिंग के साथ प्रदर्शित किया गया है।.

<?php

विक्रेता-न्यूट्रल सुरक्षा उपाय

यदि आप तुरंत प्लगइन को पैच या हटा नहीं सकते हैं, तो स्तरित, विक्रेता-न्यूट्रल शमन लागू करें:

  • अस्थायी सर्वर नियम: वेब सर्वर (nginx/Apache) स्तर पर प्लगइन के ज्ञात हैंडलर पथों पर POST को ब्लॉक करें।.
  • अनुरोध फ़िल्टरिंग: अनुरोधों को अस्वीकार करें जो परिवर्तन करने का प्रयास करते हैं साइटयूआरएल/होम जब तक कि वे ज्ञात व्यवस्थापक आईपी से न आ रहे हों या अपेक्षित नॉनस न हो।.
  • दर सीमित करना और IP नियंत्रण: संदिग्ध स्रोतों और ज्ञात शत्रुतापूर्ण नेटवर्क को थ्रॉटल या ब्लॉक करें।.
  • व्यवहारिक निगरानी: कोर विकल्पों में अचानक अपडेट और असामान्य व्यवस्थापक गतिविधि पर अलर्ट करें।.
  • व्यवस्थापक पहुंच को अलग करें: प्रशासनिक इंटरफेस पर अनुमति सूचियाँ या VPN/SSH पहुंच लागू करें जहाँ संचालनात्मक रूप से संभव हो।.

ये उपाय अस्थायी हैं; दीर्घकालिक समाधान यह सुनिश्चित करना है कि प्लगइन्स नॉनस और क्षमता जांचों को लागू करें और कमजोर कोड पथों को हटा दें।.

व्यावहारिक मार्गदर्शिका: कदम-दर-कदम क्रियाएँ जो आपको अभी लेनी चाहिए

  1. क्या प्लगइन स्थापित है?
    • हाँ: एक बैकअप बनाएं और प्लगइन को निष्क्रिय करें। यदि साइट URL परिवर्तनों के कारण अनुपलब्ध है, तो चरण 2 का पालन करें।.
    • नहीं: आप इस प्लगइन के लिए सीधे कमजोर नहीं हैं, लेकिन नॉनस/क्षमता की कमी के लिए प्लगइन्स के बीच व्यवस्थापक अंत बिंदुओं की समीक्षा करें।.
  2. यदि लॉक आउट हो गए (साइट URL बदल गया):
    • डेटाबेस से कनेक्ट करें (phpMyAdmin, Adminer, या CLI) और अपडेट करें साइटयूआरएल 8. और होम में 11. संदिग्ध सामग्री के साथ। सही मान पर।.
    • वैकल्पिक रूप से, अस्थायी रूप से जोड़ें wp-config.php: 
      define( 'WP_HOME', 'https://your-correct-domain.com' );
  3. सभी व्यवस्थापकों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें — पासवर्ड परिवर्तन की आवश्यकता करें और जहाँ संभव हो MFA सक्षम करें।.
  4. साइट को स्कैन करें — फ़ाइल परिवर्तनों, अज्ञात उपयोगकर्ताओं और संदिग्ध अनुसूचित कार्यों को खोजने के लिए कई अखंडता और मैलवेयर स्कैन चलाएँ।.
  5. अस्थायी अनुरोध फ़िल्टर लागू करें — पैच उपलब्ध होने तक साइट URL पैरामीटर शामिल करने वाले प्लगइन पथ और व्यवस्थापक हैंडलरों पर POST को अवरुद्ध या मान्य करें।.
  6. निगरानी और पुनर्स्थापना — सफाई और अखंडता की पुष्टि के बाद, केवल तभी कार्यक्षमता को फिर से पेश करें जब प्लगइन लेखक एक सत्यापित पैच जारी करे जो नॉनस सत्यापन और क्षमता जांच जोड़ता है।.

सामान्य प्रश्न और समापन विचार

प्रश्न: यदि मैं “चेंज WP URL” प्लगइन का उपयोग नहीं कर रहा हूँ, तो क्या मुझे चिंता करनी चाहिए?

आपको सामान्यतः CSRF रक्षा के लिए प्लगइनों और थीमों की समीक्षा करनी चाहिए। यहाँ की रक्षा के कदम — नॉनस, क्षमता जांच, MFA, व्यवस्थापक पहुंच प्रतिबंध — व्यापक रूप से लागू होते हैं।.

प्रश्न: यदि प्लगइन के लिए एक पैच जारी किया जाता है तो क्या होगा?

स्पष्ट रूप से जोड़े गए नॉनस और क्षमता जांच का दस्तावेज़ीकरण करने वाले विक्रेता रिलीज़ पर तुरंत अपडेट करें। अपडेट करने के बाद, सामान्य व्यवस्थापक संचालन सही ढंग से कार्य करते हैं यह पुष्टि करने के बाद ही अस्थायी फ़िल्टर हटा दें।.

प्रश्न: अनुरोध फ़िल्टरिंग या WAF कितनी प्रभावी है बनाम प्लगइन को हटाना?

कमजोर प्लगइन को हटाना या निष्क्रिय करना कमजोरियों को हटा देता है। अनुरोध फ़िल्टरिंग या WAF सुरक्षा तत्काल जोखिम को कम करने के लिए उपयोगी अंतरिम उपाय हैं जबकि आप एक सुरक्षित अपडेट को मान्य और लागू करते हैं। अपने संचालन की सीमाओं के अनुसार दोनों दृष्टिकोणों का उपयोग करें।.

प्रश्न: क्या मुझे सार्वजनिक रूप से घोषणा करनी चाहिए कि मेरी साइट को लक्षित किया गया था?

प्रकटीकरण को कानूनी, नियामक और व्यावसायिक प्रभावों पर विचार करना चाहिए। न्यूनतम, आंतरिक हितधारकों और अनुपालन टीमों को सूचित करें। यदि उपयोगकर्ता डेटा उजागर हुआ है, तो लागू उल्लंघन सूचना कानूनों का पालन करें।.

संदर्भ

  • CVE पहचानकर्ता: CVE‑2026‑1398
  • वर्डप्रेस डेवलपर दस्तावेज़: नॉनसेस और क्षमता जांच
  • प्लगइन सलाहकार विवरण 28 जनवरी 2026 को प्रकाशित (आधिकारिक पैच नोट्स के लिए विक्रेता सलाहों का पालन करें)

एक हांगकांग सुरक्षा प्रैक्टिशनर के रूप में: जल्दी कार्य करें, जब संभव हो साक्ष्य को संरक्षित करें, और व्यवसाय निरंतरता की रक्षा के लिए containment को प्राथमिकता दें। यदि आपके पास इन-हाउस विशेषज्ञता की कमी है, तो अनुभवी घटना प्रतिक्रिया करने वालों को शामिल करें जो विक्रेता-तटस्थ सुरक्षा लागू कर सकते हैं और संचालन को सुरक्षित रूप से बहाल करने में मदद कर सकते हैं।.

सतर्क रहें, हांगकांग सुरक्षा विशेषज्ञ


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग उपयोगकर्ताओं को वर्डप्रेस दोषों से सुरक्षित रखें (CVE20260825)

अगला लेख —

हांगकांग साइटों को TableMaster SSRF से सुरक्षित रखें (CVE202514610)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग जीस्पीच टीटीएस सुरक्षा सलाह (CVE202510187)

  • अक्टूबर 18, 2025
वर्डप्रेस जीस्पीच टीटीएस - वर्डप्रेस टेक्स्ट टू स्पीच प्लगइन प्लगइन <= 3.17.13 - प्रमाणीकृत (एडमिन+) SQL इंजेक्शन भेद्यता
Wवर्डप्रेस भेद्यता डेटाबेस

वर्डप्रेस बुकिंग अल्ट्रा प्रो प्लगइन <1.1.4 - क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता

  • मई 7, 2023
वर्डप्रेस बुकिंग अल्ट्रा प्रो प्लगइन (v1.1.4 या पहले) में एक अनफिक्स्ड उच्च-गंभीरता XSS भेद्यता है, जो दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन की अनुमति देती है। अन्य ज्ञात भेद्यताओं में CSRF मुद्दे शामिल हैं।.