| प्लगइन का नाम | सर्बमा | मिनीसीआरएम शॉर्टकोड |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2025-11800 |
| तात्कालिकता | कम |
| CVE प्रकाशन तिथि | 2025-11-20 |
| स्रोत URL | CVE-2025-11800 |
महत्वपूर्ण: “सर्बमा | मिनीसीआरएम शॉर्टकोड” (≤ 2.0) में स्टोर्ड XSS — साइट मालिकों को क्या जानना चाहिए
सारांश
वर्डप्रेस प्लगइन “सर्बमा | मिनीसीआरएम शॉर्टकोड” (CVE‑2025‑11800) के संस्करण ≤ 2.0 में एक स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता सार्वजनिक रूप से प्रकट की गई है। यह दोष एक प्रमाणित उपयोगकर्ता को योगदानकर्ता भूमिका के साथ प्लगइन द्वारा प्रस्तुत सामग्री में स्थायी जावास्क्रिप्ट इंजेक्ट करने की अनुमति देता है। चूंकि यह स्टोर्ड XSS है, दुर्भावनापूर्ण पेलोड साइट पर सहेजा जाता है और किसी भी उपयोगकर्ता के ब्राउज़र में निष्पादित होता है जो प्रभावित पृष्ठ को देखता है — जिसमें प्रशासक और संपादक शामिल हैं। CVSS स्कोर 6.5 (मध्यम) है, लेकिन वास्तविक दुनिया में प्रभाव साइट के उपयोग और आगंतुकों के अनुसार भिन्न होता है।.
यह सलाह:
- भेद्यता और शोषण परिदृश्यों को सरल भाषा में समझाता है।.
- साइट मालिकों को तुरंत उठाने के लिए कार्रवाई की सूची देता है।.
- तकनीकी पहचान और शमन मार्गदर्शन प्रदान करता है (विक्रेता-न्यूट्रल)।.
- प्लगइन डेवलपर्स और प्रशासकों के लिए सुरक्षित कोडिंग सर्वोत्तम प्रथाओं की पेशकश करता है।.
क्या हुआ? — सरल अंग्रेजी
The plugin renders content provided by authenticated users (Contributor role and above) into pages via a shortcode or similar output. The vulnerability occurs because certain user‑supplied fields are output as HTML without proper sanitization or escaping. A Contributor can submit markup (including
