Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक सलाह वास्तविक स्थान व्यवस्थापक वृद्धि(CVE20256758)

वर्डप्रेस रियल स्पेसेस – वर्डप्रेस प्रॉपर्टीज डायरेक्टरी थीम प्लगइन
0
शेयर
0
0
0
0
प्लगइन का नाम रियल स्पेसेस थीम
कमजोरियों का प्रकार अनधिकृत विशेषाधिकार वृद्धि
CVE संख्या CVE-2025-6758
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2025-08-18
स्रोत URL CVE-2025-6758

महत्वपूर्ण: रियल स्पेसेस थीम (≤ 3.6) — अनधिकृत विशेषाधिकार वृद्धि (CVE‑2025‑6758) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ | तारीख: 2025-08-18

श्रेणियाँ: वर्डप्रेस सुरक्षा, कमजोरियाँ, हार्डनिंग, WAF

टैग: रियल स्पेसेस, CVE-2025-6758, विशेषाधिकार वृद्धि, WAF, वर्चुअल पैचिंग

सारांश

  • कमजोरियाँ: थीम एंडपॉइंट के माध्यम से विशेषाधिकार वृद्धि imic_agent_register
  • प्रभावित सॉफ़्टवेयर: रियल स्पेसेस वर्डप्रेस थीम — संस्करण ≤ 3.6
  • में ठीक किया गया: रियल स्पेसेस 3.6.1
  • CVE: CVE‑2025‑6758
  • CVSS: 9.8 (उच्च — व्यवस्थापक के लिए विशेषाधिकार वृद्धि)
  • शोषण के लिए आवश्यक विशेषाधिकार: कोई नहीं (अनधिकृत)
  • प्रकाशित तिथि: 18 अगस्त 2025

एक हांगकांग सुरक्षा पेशेवर के रूप में, मैं किसी भी अनधिकृत विशेषाधिकार वृद्धि को तत्काल संचालन आपातकाल के रूप में मानता हूँ। यह रियल स्पेसेस समस्या अनधिकृत हमलावरों को विशेषाधिकार बढ़ाने की अनुमति देती है — संभावित रूप से व्यवस्थापक के लिए खाते बनाना या बढ़ावा देना — जो साइट का पूर्ण नियंत्रण प्रदान करता है। यह गाइड कमजोरियों, पहचानने के चरणों, अस्थायी शमन, वर्चुअल-पैचिंग उदाहरणों और साइट मालिकों और डेवलपर्स के लिए दीर्घकालिक हार्डनिंग उपायों को समझाती है।.

क्या हुआ (संक्षिप्त तकनीकी अवलोकन)

रियल स्पेसेस थीम के प्रॉपर्टीज डायरेक्टरी घटकों में एक सार्वजनिक कमजोरी एक अनधिकृत एंडपॉइंट को उजागर करती है (imic_agent_register) जिसे विशेषाधिकार बढ़ाने के लिए दुरुपयोग किया जा सकता है। एंडपॉइंट को उचित प्रमाणीकरण के बिना कॉल किया जा सकता है और इसमें पर्याप्त क्षमता जांच और CSRF सुरक्षा की कमी है। एक अनधिकृत अभिनेता एक एजेंट उपयोगकर्ता को पंजीकृत या संशोधित कर सकता है और प्रभावित साइटों पर विशेषाधिकार (जिसमें व्यवस्थापक शामिल है) बढ़ा सकता है।.

इसे CVE‑2025‑6758 के रूप में ट्रैक किया गया है और इसे रियल स्पेसेस 3.6.1 में ठीक किया गया था। यदि आपकी साइट रियल स्पेसेस ≤ 3.6 चलाती है, तो इसे आपातकाल के रूप में मानें।.

यह क्यों महत्वपूर्ण है

  • अनधिकृत: 1. अंत बिंदु तक पहुँचने के लिए कोई मौजूदा खाता आवश्यक नहीं है।.
  • 2. व्यवस्थापक के लिए विशेषाधिकार वृद्धि: 3. एक हमलावर जिसके पास व्यवस्थापक अधिकार हैं, बैकडोर स्थापित कर सकता है, स्थायी उपयोगकर्ता बना सकता है, डेटा निकाल सकता है और मैलवेयर तैनात कर सकता है।.
  • 4. उच्च CVSS (9.8): 5. उच्च प्रभाव और सीधी शोषण को दर्शाता है।.
  • 6. संभावित सामूहिक शोषण: 7. समान दोष आमतौर पर स्वचालित बॉट्स द्वारा जल्दी से स्कैन और हथियारबंद किए जाते हैं।.

8. यदि आप प्रभावित थीम चला रहे हैं तो तुरंत सत्यापन और शमन को प्राथमिकता दें।.

9. इस प्रकार की समस्या आमतौर पर कैसे काम करती है (डेवलपर-स्तरीय सारांश)

10. लेखक कभी-कभी सार्वजनिक फॉर्म (जैसे, एजेंट पंजीकरण) के लिए AJAX या फ्रंट-एंड अंत बिंदुओं को उजागर करते हैं। अंत बिंदुओं को के माध्यम से पंजीकृत किया जाता है add_action('wp_ajax_...') या add_action('wp_ajax_nopriv_...'). 11. . यदि एक अंत बिंदु अनधिकृत उपयोगकर्ताओं के लिए पंजीकृत है (12. _nopriv13. ) और हैंडलर उपयोगकर्ताओं को बनाता है या भूमिकाएँ असाइन करता है बिना:

  • 14. उचित क्षमता जांच,
  • 15. सत्यापित नॉनसेस (WP नॉनसेस),
  • 16. इनपुट स्वच्छता और मान्यता, और
  • 17. दर-सीमा / दुरुपयोग सुरक्षा,

18. तो एक हमलावर उपयोगकर्ता खातों को बनाने या भूमिकाएँ बदलने के लिए अनुरोध तैयार कर सकता है। यदि कोड व्यवस्थापक को असाइन करने की अनुमति देता है 19. भूमिका (या सीधे क्षमताओं में हेरफेर करता है) बिना कॉलर के अधिकारों की पुष्टि किए, तो विशेषाधिकार वृद्धि होगी। इस वास्तविक स्पेस मामले में, भूमिका (या सीधे क्षमताओं में हेरफेर करती है) कॉलर के अधिकारों की पुष्टि किए बिना, विशेषाधिकार वृद्धि होगी। इस वास्तविक स्थान मामले में, imic_agent_register एंडपॉइंट में आवश्यक सर्वर-साइड नियंत्रणों की कमी है।.

समझौते के संकेत (IoC) और पहचानने के टिप्स

यदि आपको लक्षित करने या समझौते का संदेह है, तो निम्नलिखित की जांच करें:

  1. अप्रत्याशित व्यवस्थापक उपयोगकर्ता

    • उच्च भूमिकाओं वाले हाल ही में बनाए गए उपयोगकर्ताओं के लिए डेटाबेस क्वेरी करें: 
      SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered >= '2025-08-01' ORDER BY user_registered DESC;
    • निरीक्षण करें 9. wp_usermeta क्षमता असाइनमेंट के लिए जैसे wp_capabilities व्यवस्थापक अधिकार दिखा रहा है।.
  2. admin-ajax.php या कस्टम एंडपॉइंट्स के लिए संदिग्ध अनुरोध

    • अनुरोधों में शामिल वेब सर्वर लॉग की खोज करें action=imic_agent_register या थीम एंडपॉइंट पर कॉल।.
    • सामान्य पैटर्न: पंजीकरण-जैसे पैरामीटर के साथ POSTs।.
  3. संशोधित सामग्री या सेटिंग्स

    • अप्रत्याशित पोस्ट/पृष्ठ, नए प्लगइन्स/थीम्स स्थापित या छेड़छाड़ की गई।.
    • में परिवर्तन 11. संदिग्ध सामग्री के साथ। जैसे सक्रिय_प्लगइन्स, साइटयूआरएल, होम.
  4. फ़ाइलों में बैकडोर

    • असामान्य PHP फ़ाइलों के लिए स्कैन करें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं।, थीम फ़ोल्डर या wp-includes.
  5. दुर्भावनापूर्ण कार्यों के लिए उच्चाधिकार का उपयोग किया गया

    • नए क्रोन कार्य, PHP प्रक्रियाओं से अज्ञात IPs/डोमेन के लिए आउटबाउंड कनेक्शन।.

उदाहरण लॉग क्वेरी:

grep "imic_agent_register" /var/log/nginx/access.log* | tail -n 200

यदि आप पाते हैं imic_agent_register कॉल और उन्हें वैध गतिविधि के रूप में नहीं जोड़ सकते, तो उन्हें संदिग्ध मानें।.

तात्कालिक निवारण कदम (तेज़, कम घर्षण)

  1. तुरंत थीम को 3.6.1 (या बाद में) अपडेट करें।.

    निश्चित समाधान 3.6.1 में रियल स्पेस को अपग्रेड करना है, जो क्षमता जांच और सुरक्षा को सही करता है।.

  2. यदि आप तुरंत अपडेट नहीं कर सकते, तो अपने WAF के माध्यम से अस्थायी वर्चुअल पैचिंग लागू करें।.

    अनधिकृत अनुरोधों को अवरुद्ध करें जो action=imic_agent_register. अज्ञात या अविश्वसनीय IPs से पंजीकरण एंडपॉइंट पर POST को अस्वीकार करें। पंजीकरण एंडपॉइंट के लिए दर-सीमा और सामान्य सुरक्षा लागू करें।.

  3. उपयोगकर्ता और प्रशासक पहुंच को लॉक करें।.

    • मौजूदा प्रशासकों और हाल ही में बनाए गए खातों के लिए पासवर्ड रीसेट करें।.
    • मजबूत पासवर्ड लागू करें और पुनः उत्पन्न करके सॉल्ट्स को घुमाएँ AUTH_KEY / SECURE_AUTH_KEY में wp-config.php यदि समझौता होने का संदेह है।.
    • पैच होने तक नए उपयोगकर्ता पंजीकरण को अस्थायी रूप से निष्क्रिय करें, यदि संभव हो।.
  4. निगरानी और स्कैन करें।.

    • थीम और प्लगइन फ़ाइलों के लिए पूर्ण मैलवेयर स्कैन और अखंडता जांच चलाएँ।.
    • एक्सेस लॉग की समीक्षा करें और 7. wp_users/9. wp_usermeta नए या संशोधित प्रशासनिक खातों के लिए।.
  5. यदि आपके पास समझौते का सबूत है, तो साइट को अलग करें।.

    • जांच करते समय साइट को ऑफ़लाइन करें या रखरखाव मोड सेट करें।.
    • फोरेंसिक्स के लिए लॉग और डेटाबेस स्नैपशॉट को संरक्षित करें।.

नीचे एक रूढ़िवादी ModSecurity-शैली का नियम है जो कमजोर क्रिया को कॉल करने वाले बिना प्रमाणीकरण वाले POST प्रयासों को अवरुद्ध करता है। अपने वातावरण के अनुसार अनुकूलित करें। यह एक अस्थायी आभासी पैच है - स्थायी समाधान के रूप में थीम को अपडेट करें।.

# बिना प्रमाणीकरण वाले प्रयासों को admin-ajax.php के माध्यम से imic_agent_register को कॉल करने से रोकें"

व्याख्या:

  • उन POST अनुरोधों को अवरुद्ध करता है जहाँ क्रिया पैरामीटर बराबर है imic_agent_register.
  • प्रमाणीकरण किए गए उपयोगकर्ताओं से अनुरोधों की अनुमति देता है यह जांचकर कि wordpress_logged_in_ कुकी।.
  • मल्टीसाइट या कस्टम कुकी उपसर्ग के लिए कुकी जांच को समायोजित करें।.

वैकल्पिक, सख्त नियम:

# बिना प्रमाणीकरण वाले सभी अनुरोधों को admin-ajax.php के साथ imic_agent_register क्रिया के लिए अस्वीकार करें"

यदि आप एक होस्टेड WAF या फ़ायरवॉल का उपयोग करते हैं, तो अपने प्रदाता या होस्ट से तुरंत एक समकक्ष नियम लागू करने के लिए कहें।.

घटना प्रतिक्रिया प्लेबुक (विस्तृत)

यदि आप शोषण की पुष्टि करते हैं या संदेह करते हैं, तो इन चरणों का अनुक्रम में पालन करें:

  1. साक्ष्य को संरक्षित करें

    • स्नैपशॉट फ़ाइलें और डेटाबेस।.
    • वेब सर्वर लॉग (एक्सेस और त्रुटि), PHP-FPM लॉग और डेटाबेस लॉग कॉपी करें।.
    • संदिग्ध गतिविधियों के टाइमस्टैम्प और आईपी पते दस्तावेज़ करें।.
  2. साइट को अलग करें

    • ज्ञात व्यवस्थापक आईपी पर पहुँच को प्रतिबंधित करें या सार्वजनिक पहुँच को निष्क्रिय करें।.
    • नए उपयोगकर्ता पंजीकरण को निष्क्रिय करें।.
  3. प्रशासनिक पहुँच पुनः प्राप्त करें।

    • सभी व्यवस्थापक खातों के लिए पासवर्ड को मजबूत, अद्वितीय मानों में रीसेट करें।.
    • यदि लॉक आउट हो गए हैं, तो केवल तभी एक आपातकालीन व्यवस्थापक खाता बनाएं जब आप इसे सुरक्षित रूप से करना जानते हों और क्रिया को लॉग करें।.
  4. दुर्भावनापूर्ण उपयोगकर्ताओं और बैकडोर को हटा दें।

    • अनधिकृत व्यवस्थापक खातों की पहचान करें और उन्हें हटा दें - लेकिन पहले सबूत को संरक्षित करें।.
    • संदिग्ध PHP फ़ाइलों और थीम, प्लगइन्स और अपलोड में संशोधित फ़ाइलों की खोज करें।.
  5. समझौता किए गए घटकों को पुनः स्थापित या अपडेट करें।

    • विश्वसनीय स्रोत से रियल स्पेसेस थीम को पुनः स्थापित करें या 3.6.1+ पर अपडेट करें।.
    • यदि अखंडता संदिग्ध है तो मूल स्रोतों से प्लगइन्स/थीम को पुनः स्थापित करें।.
  6. कुंजी और रहस्यों को फिर से जारी करें।

    • अपडेट wp-config.php मौजूदा ऑथ कुकीज़ को अमान्य करने के लिए साल्ट।.
    • साइट द्वारा उपयोग किए जाने वाले API कुंजी को घुमाएँ (भुगतान गेटवे, तीसरे पक्ष के एकीकरण)।.
  7. पोस्ट-क्लीन को मजबूत करें और मॉनिटर करें।

    • व्यवस्थापक खातों के लिए दो-कारक प्रमाणीकरण (2FA) लागू करें।.
    • मजबूत पासवर्ड प्रवर्तन सक्षम करें।.
    • निरंतर फ़ाइल अखंडता निगरानी और लॉग अलर्टिंग लागू करें।.
  8. रिपोर्ट करें और सूचित करें

    • साइट के हितधारकों और अपने होस्टिंग प्रदाता को सूचित करें।.
    • किसी भी लागू उल्लंघन सूचना विनियमों का पालन करें।.

यदि आप इन संचालन को करने में आत्मविश्वास नहीं रखते हैं, तो एक पेशेवर घटना प्रतिक्रिया प्रदाता को संलग्न करें जो वर्डप्रेस घटना प्रतिक्रिया में अनुभवी हो।.

दीर्घकालिक सुधार और सख्ती (भविष्य में विशेषाधिकार वृद्धि को रोकना)

  • न्यूनतम विशेषाधिकार का सिद्धांत: कभी भी बिना प्रमाणीकरण वाले कोड पथों को उच्च-स्तरीय भूमिकाएँ असाइन करने की अनुमति न दें। नए उपयोगकर्ताओं को न्यूनतम विशेषाधिकार पर डिफ़ॉल्ट करें।.
  • WP नॉनसेस और क्षमता जांच का उपयोग करें: राज्य-परिवर्तनकारी क्रियाओं के लिए, उपयोग करें check_ajax_referer() 8. और current_user_can(). बचें add_action('wp_ajax_nopriv_...') संवेदनशील संचालन के लिए।.
  • इनपुट को साफ और मान्य करें: उपयोगकर्ताओं को बनाने या भूमिकाओं को संशोधित करने से पहले WP सैनीटाइजेशन फ़ंक्शंस का उपयोग करें।.
  • क्लाइंट-साइड प्राधिकरण निर्णयों से बचें: कभी भी क्लाइंट-प्रदत्त भूमिका/क्षमता फ़ील्ड पर भरोसा न करें।.
  • दर सीमित करना और थ्रॉटलिंग: सार्वजनिक एंडपॉइंट्स और AJAX हैंडलर्स पर सीमाएँ लागू करें।.
  • सुरक्षा कोड समीक्षाएँ और परीक्षण: सुरक्षा समीक्षाओं, परीक्षणों को शामिल करें जो एंडपॉइंट्स के लिए आवश्यक क्षमताओं और नॉनसेस की पुष्टि करते हैं।.
  • WP APIs का पालन करें: उपयोग करें wp_create_user() 8. और wp_insert_user() स्पष्ट सर्वर-साइड भूमिका प्रबंधन के साथ; सीधे DB संशोधनों से बचें।.

डेवलपर मार्गदर्शन - अपने कोड में क्या जांचें

यदि आप रियल स्पेस या किसी थीम/प्लगइन को बनाए रखते हैं या अनुकूलित करते हैं:

  • के लिए खोजें imic_agent_register, add_action('wp_ajax_nopriv_imic_agent_register' या समान।.
  • हैंडलर की जांच करें: क्या यह कॉल करता है wp_insert_user() या wp_update_user() अनधिकृत कॉलर्स के लिए? क्या वहाँ current_user_can() जांचें या नॉनसेस हैं?
  • क्या भूमिका नाम उपयोगकर्ता इनपुट से स्वीकार किए जाते हैं (जैसे, $_POST['role']) और सीधे असाइन किए जाते हैं?
  • यदि एक एंडपॉइंट सार्वजनिक होना चाहिए (जैसे, संपर्क फ़ॉर्म), सुनिश्चित करें कि यह विशेषाधिकार नहीं बदल सकता और कि खाता-संबंधित संचालन एक सुरक्षित समीक्षा/अनुमोदन प्रवाह के माध्यम से जाते हैं।.
  • महत्वपूर्ण क्रियाओं (उपयोगकर्ता निर्माण, भूमिका परिवर्तन) के लिए सर्वर-साइड लॉगिंग जोड़ें, जिसमें पूर्व- और पश्चात-क्रिया रिकॉर्ड शामिल हैं।.

एक सुरक्षित AJAX हैंडलर पैटर्न का उदाहरण:

add_action( 'wp_ajax_my_secure_action', 'my_secure_action_handler' );

यदि एक ऑपरेशन मेहमानों के लिए उपलब्ध होना चाहिए, तो इसे गैर-विशेषाधिकार कार्यों (संपर्क संदेशों को स्टोर करना, ईमेल भेजना) तक सीमित करें और कभी भी मेहमान अनुरोध से उपयोगकर्ताओं को प्रशासनिक भूमिकाओं में न बनाएं या न बढ़ाएं।.

निगरानी और पहचान में सुधार जो आपको लागू करना चाहिए

  • फ़ाइल अखंडता निगरानी: थीम, प्लगइन और कोर फ़ाइलों में संशोधनों को ट्रैक करें।.
  • लॉग समेकन और अलर्ट: नए प्रशासनिक उपयोगकर्ता निर्माण, भूमिका परिवर्तन और अज्ञात क्रियाओं के साथ admin-ajax.php पर बार-बार POST पर अलर्ट करें।.
  • अनुसूचित DB ऑडिट: नए बनाए गए प्रशासनिक उपयोगकर्ताओं का पता लगाने और ईमेल/Slack के माध्यम से अलर्ट करने के लिए क्रोन कार्य।.
  • एज पर दर सीमा: AJAX एंडपॉइंट्स पर अत्यधिक POST को ब्लॉक या चुनौती दें (CAPTCHA, थ्रॉटलिंग)।.

वास्तविक दुनिया की सुधार चेकलिस्ट (कॉपी करने योग्य)

  • [ ] पहचानें कि क्या Real Spaces ≤ 3.6 स्थापित है।.
  • [ ] तुरंत Real Spaces को 3.6.1 (या नए) में अपग्रेड करें।.
  • [ ] यदि तत्काल अपडेट संभव नहीं है, तो ब्लॉक करें imic_agent_register WAF के माध्यम से कॉल (उपरोक्त उदाहरण नियम देखें)।.
  • [ ] ऑडिट 7. wp_users 8. और 9. wp_usermeta अनधिकृत प्रशासकों के लिए।.
  • [ ] सभी प्रशासनिक खातों के लिए पासवर्ड रीसेट करें और साल्ट को घुमाएं।.
  • [ ] फ़ाइल प्रणाली मैलवेयर स्कैन चलाएं और संदिग्ध फ़ाइलें हटा दें।.
  • [ ] यदि दुर्भावनापूर्ण संशोधन पाए जाते हैं तो एक साफ बैकअप से पुनर्स्थापित करें।.
  • [ ] प्रशासनिक खातों के लिए 2FA लागू करें।.
  • [ ] उपयोगकर्ता निर्माण और भूमिका परिवर्तनों के लिए निगरानी और अलर्ट लागू करें।.
  • [ ] असुरक्षित AJAX एंडपॉइंट्स के लिए कस्टम थीम/प्लगइन कोड की समीक्षा करें और क्षमता/नॉनस जांच को ठीक करें।.

यदि आपने पहले ही एक दुर्भावनापूर्ण प्रशासनिक उपयोगकर्ता का पता लगाया है - तत्काल कदम

  1. यदि आपको फोरेंसिक्स की आवश्यकता है तो उपयोगकर्ता को तुरंत न हटाएं:

    • पासवर्ड को एक सुरक्षित यादृच्छिक मान में बदलें।.
    • खाते से जुड़े टोकन और API कुंजियों को हटा दें या रद्द करें।.
  2. स्नैपशॉट लें

    • बाद की फोरेंसिक विश्लेषण के लिए डेटाबेस और फ़ाइल सिस्टम स्नैपशॉट।.
  3. अनुसूचित कार्यों को हटाएं और सत्रों को रद्द करें

    • हमलावर द्वारा बनाए गए क्रॉन कार्यों की खोज करें और उन्हें हटाएं।.
    • नमक को अपडेट करके या सत्रों को साफ करके सभी सत्रों को रद्द करें।.
  4. सफाई के बाद

    • जब आपके पास पर्याप्त सबूत हो और आपने बैकडोर हटा दिए हों, तो बागी खाते को हटा दें या पदावनत करें।.

समापन नोट्स और अंतिम सिफारिशें

  • प्राथमिकता: यदि आप Real Spaces ≤ 3.6 का उपयोग कर रहे हैं — तो अब 3.6.1 में अपडेट करें।.
  • यदि पैचिंग में देरी होती है, तो कमजोर एंडपॉइंट को ब्लॉक करने के लिए एक अस्थायी WAF नियम लागू करें और संदिग्ध नए प्रशासनिक खातों की निगरानी करें।.
  • परीक्षण किए गए बैकअप और अभ्यास किए गए पुनर्स्थापनों को बनाए रखें — ये आपकी पुनर्प्राप्ति की अंतिम पंक्ति हैं।.
  • एक स्तरित सुरक्षा दृष्टिकोण अपनाएं: हार्डनिंग, निगरानी और किनारे पर वर्चुअल पैचिंग तेजी से हथियारबंद मुद्दों के लिए जोखिम को कम करती है।.

यदि आपको शमन लागू करने या फोरेंसिक समीक्षा करने में मदद की आवश्यकता है, तो प्रदर्शित WordPress अनुभव के साथ एक विश्वसनीय घटना प्रतिक्रिया विशेषज्ञ को संलग्न करें।.

संदर्भ और आगे की पढ़ाई

एक हांगकांग सुरक्षा प्रैक्टिशनर द्वारा तैयार किया गया। संचालन संबंधी पूछताछ के लिए, अपने होस्टिंग वातावरण और लॉग को एक योग्य उत्तरदाता को प्रदान करें — क्रेडेंशियल्स को सुरक्षित रूप से संभालें और जांच के दौरान पहुंच को सीमित करें।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

समुदाय अलर्ट क्लाउडफ्लेयर इमेज रिसाइजिंग एक्सप्लॉइट (CVE20258723)

अगला लेख —

हांगकांग सुरक्षा सलाह FunnelKit अधिकार वृद्धि (CVE20257654)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा चेतावनी SSO डेटा एक्सपोजर (CVE202510648)

  • अक्टूबर 15, 2025
वर्डप्रेस लॉगिन विद योरमेंबरशिप - YM SSO लॉगिन प्लगइन <= 1.1.7 - 'moym_display_test_attributes' भेद्यता के माध्यम से अनधिकृत संवेदनशील जानकारी के एक्सपोजर के लिए अनुमोदन की कमी
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा एनजीओ ने बिना प्रमाणीकरण वाले शॉर्टकोड की चेतावनी दी(CVE20258105)

  • अगस्त 16, 2025
WordPress सोलेडैड प्लगइन <= 8.6.7 - बिना प्रमाणीकरण वाले मनमाने शॉर्टकोड निष्पादन भेद्यता