Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक चेतावनी Xpro थीम बिल्डर एक्सेस दोष (CVE202558198)

वर्डप्रेस एक्सप्रो थीम बिल्डर प्लगइन
0
शेयर
0
0
0
0
प्लगइन का नाम एक्सप्रो थीम बिल्डर
कमजोरियों का प्रकार एक्सेस नियंत्रण भेद्यता
CVE संख्या CVE-2025-58198
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-27
स्रोत URL CVE-2025-58198

तत्काल: एक्सप्रो थीम बिल्डर <= 1.2.9 — टूटी हुई एक्सेस नियंत्रण (CVE-2025-58198) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

प्रकाशित: 2025-08-27 | लेखक: हांगकांग सुरक्षा विशेषज्ञ

टैग: वर्डप्रेस, कमजोरियां, WAF, एक्सप्रो थीम बिल्डर, CVE-2025-58198, हार्डनिंग

सारांश: एक टूटी हुई एक्सेस नियंत्रण की कमजोरी जो एक्सप्रो थीम बिल्डर संस्करणों ≤ 1.2.9 (CVE-2025-58198) को प्रभावित करती है, उपयोगकर्ताओं को योगदानकर्ता स्तर की विशेषाधिकारों के साथ ऐसे कार्य करने की अनुमति देती है जो उन्हें नहीं करने चाहिए। यह समस्या संस्करण 1.2.10 में ठीक की गई है। यह लेख जोखिम, संभावित शोषण परिदृश्यों, पहचान और शमन कदमों, अनुशंसित हार्डनिंग, और तत्काल कार्यों को समझाता है जो साइट मालिकों को करने चाहिए।.

क्या हुआ (संक्षेप में)

एक्सप्रो थीम बिल्डर वर्डप्रेस प्लगइन के लिए एक टूटी हुई एक्सेस नियंत्रण की कमजोरी प्रकाशित की गई थी। कमजोर संस्करण ≤ 1.2.9 हैं। विक्रेता ने 1.2.10 में एक सुधार जारी किया। मुख्य समस्या: एक या एक से अधिक प्लगइन एंडपॉइंट्स में एक गायब या गलत प्राधिकरण जांच ने अपेक्षाकृत कम विशेषाधिकार (योगदानकर्ता) वाले उपयोगकर्ताओं को ऐसे कार्यों को निष्पादित करने की अनुमति दी जो उच्च विशेषाधिकार की आवश्यकता होनी चाहिए।.

यह समस्या CVE-2025-58198 के तहत ट्रैक की गई है।.

यह क्यों महत्वपूर्ण है: प्रभाव का अवलोकन

टूटी हुई एक्सेस नियंत्रण सुरक्षा बग की सबसे सामान्य और खतरनाक श्रेणियों में से एक है। जब प्राधिकरण जांच गायब या अपर्याप्त होती हैं, तो प्रमाणित लेकिन कम-विशेषाधिकार वाले उपयोगकर्ता ऐसे कार्य कर सकते हैं जो उन्हें नहीं करने चाहिए। कमजोर कार्य के आधार पर, परिणामों में शामिल हो सकते हैं:

  • थीम टेम्पलेट या सेटिंग्स में संशोधन;
  • थीम आउटपुट में दुर्भावनापूर्ण कोड इंजेक्ट करना;
  • बैकडोर सेवा देने के लिए छिपे हुए फ़ाइलों या मीडिया को अपलोड करना;
  • अप्रत्यक्ष कार्यप्रवाहों के माध्यम से विशेषाधिकार बढ़ाना;
  • साइट कॉन्फ़िगरेशन और सामग्री नियंत्रणों को दरकिनार करना।.

हालांकि सार्वजनिक मूल्यांकन मध्यम/कम प्राथमिकता और लगभग 6.5 का CVSS निर्धारित करता है, “कम” सापेक्ष है। हमलावर आमतौर पर पूर्ण समझौते तक पहुँचने के लिए टूटे हुए पहुँच नियंत्रण को अन्य मुद्दों के साथ जोड़ते हैं। एक योगदानकर्ता खाते के लिए विशेषाधिकार प्राप्त व्यवहार को सक्रिय करने की क्षमता कई साइटों पर जोखिम को बढ़ाती है।.

CVE और तकनीकी सारांश

  • कमजोरियों: टूटी हुई पहुंच नियंत्रण
  • प्रभावित सॉफ़्टवेयर: Xpro थीम बिल्डर वर्डप्रेस प्लगइन
  • कमजोर संस्करण: ≤ 1.2.9
  • में ठीक किया गया: 1.2.10
  • CVE: CVE-2025-58198
  • सक्रिय करने के लिए आवश्यक विशेषाधिकार: योगदानकर्ता
  • तकनीकी मूल कारण (उच्च स्तर): प्लगइन एंडपॉइंट्स (admin/ajax या कस्टम REST/admin पृष्ठ) बिना कॉलर क्षमताओं/भूमिकाओं को सही ढंग से सत्यापित किए या वर्डप्रेस नॉनस को मान्य किए बिना विशेषाधिकार प्राप्त क्रियाएँ करते हैं। परिणामस्वरूप, एक प्रमाणित योगदानकर्ता उच्च-विशेषाधिकार संचालन करने वाले अनुरोध प्रस्तुत कर सकता है।.

नोट: शोषण के चरण जानबूझकर यहाँ प्रकाशित नहीं किए गए हैं। लक्ष्य साइट मालिकों को वातावरण को सुरक्षित करने और जोखिम को कम करने में मदद करना है।.

कौन जोखिम में है

  • कोई भी वर्डप्रेस साइट जिसमें Xpro थीम बिल्डर प्लगइन संस्करण 1.2.9 या उससे नीचे स्थापित है।.
  • साइटें जो योगदानकर्ता स्तर के उपयोगकर्ता पंजीकरण या प्रस्तुतियों की अनुमति देती हैं (बहु-लेखक ब्लॉग, ओपन योगदान कार्यप्रवाह)।.
  • साइटें जिनमें अतिरिक्त सुरक्षा नहीं है (WAF, IP प्रतिबंध, सख्त पंजीकरण नियम)।.
  • साइटें जहाँ प्लगइन का उपयोग असुरक्षित कॉन्फ़िगरेशन के साथ संयोजित होता है जो फ़ाइल संपादन या थीम संशोधन की अनुमति देता है।.

यदि आपके पास प्लगइन है और आप योगदानकर्ताओं की अनुमति देते हैं (या यदि योगदानकर्ता खाते मौजूद हैं और उनका ऑडिट नहीं किया गया है), तो इसे कार्यान्वयन योग्य मानें।.

सामान्य शोषण परिदृश्य (हमलावर क्या प्रयास कर सकता है)

टूटे हुए पहुँच नियंत्रण अक्सर व्यापक हमलों में एक कदम होते हैं। संभावित परिदृश्य में शामिल हैं:

  1. योगदानकर्ता थीम लेआउट में दुर्भावनापूर्ण मार्कअप इंजेक्ट करता है:
    यदि प्लगइन थीम भागों या टेम्पलेट्स को सहेजने की अनुमति देता है, तो एक हमलावर जावास्क्रिप्ट या अस्पष्ट HTML को स्टोर कर सकता है जो प्रशासकों या संपादकों के ब्राउज़र में निष्पादित होता है, जिससे टोकन चोरी या खाता अधिग्रहण सक्षम होता है।.
  2. बैकडोर सामग्री शामिल करने के लिए विजेट/टेम्पलेट आउटपुट को संशोधित करें:
    दुर्भावनापूर्ण सामग्री दूरस्थ स्क्रिप्ट लोड कर सकती है, उपयोगकर्ताओं को फ़िशिंग पृष्ठों पर निर्देशित कर सकती है, या ब्राउज़र-आधारित मैलवेयर स्थापित कर सकती है।.
  3. सर्वर-साइड बैकडोर की ओर ले जाने वाले फ़ाइलों या संपत्तियों को अपलोड करें:
    यदि कमजोर एंडपॉइंट के माध्यम से अपलोड स्वीकार किए जाते हैं, तो योगदानकर्ता लिखने योग्य स्थानों में PHP बैकडोर रख सकते हैं।.
  4. अन्य प्लगइन्स/थीम द्वारा उपयोग की जाने वाली सेटिंग्स के साथ छेड़छाड़ करें:
    टेम्पलेट सेटिंग्स या शॉर्टकोड को बदलने से अन्य स्थानों पर असुरक्षित व्यवहार हो सकता है।.
  5. विशेषाधिकार वृद्धि श्रृंखलाएँ:
    टूटी हुई पहुंच नियंत्रण को कमजोर पासवर्ड रीसेट प्रवाह या अन्य बग के साथ मिलाकर योगदानकर्ता से संपादक/व्यवस्थापक में बढ़ाया जा सकता है।.

क्योंकि आवश्यकता केवल योगदानकर्ता है, हमलावरों को शोषण का प्रयास करने के लिए उच्च स्तर के विश्वसनीय खातों की आवश्यकता नहीं होती; कई साइटें ऐसे खातों को उजागर करती हैं या आसान पंजीकरण की अनुमति देती हैं।.

आपको इसे “कम” होने के कारण नजरअंदाज नहीं करना चाहिए”

“कम” पैच प्राथमिकता अकेले में कमजोरियों को दर्शाती है। यह किसी विशेष साइट पर डाउनस्ट्रीम परिणामों को नहीं दर्शाती है। असली हमलावर अवसरवादी होते हैं और अक्सर कई छोटे दोषों को मिलाकर बढ़ते हैं।.

  • कम-विशिष्ट खातों के साथ एक कमजोर एंडपॉइंट और एक बिना पैच की गई साइट स्वचालित स्कैनरों के लिए आकर्षक लक्ष्य बन जाते हैं।.
  • कई साइटें कई प्लगइन्स और थीम चलाती हैं; हमलावर छोटे मुद्दों को जोड़कर अधिक पहुंच प्राप्त करते हैं।.
  • इंजेक्ट किया गया कोड या अपलोड किए गए बैकडोर को ठीक करना समय लेने वाला और महंगा होता है।.

सार्वजनिक या बहु-लेखक साइटों के लिए सुधार को स्थगित न करें।.

तात्कालिक कार्रवाई (अगले 1–24 घंटों में क्या करें)

  1. प्लगइन को पैच करें

    • Xpro थीम बिल्डर को संस्करण में अपडेट करें 1.2.10 या तुरंत बाद में। यह कमजोर कोड पथों को हटा देता है।.
  2. अस्थायी पहुंच सख्ती (जब तक आप पैच नहीं कर सकते)

    • योगदानकर्ता खातों को निष्क्रिय करें या उनकी क्षमताओं को कम करें (नए पोस्ट को प्रतिबंधित करें)।.
    • यदि साइट सार्वजनिक पंजीकरण स्वीकार करती है, तो पंजीकरण को निष्क्रिय करें या मैनुअल अनुमोदन की आवश्यकता करें।.
    • wp-admin तक पहुंच को IP द्वारा सीमित करें या जहां संभव हो, व्यवस्थापक मार्गों के लिए HTTP प्रमाणीकरण जोड़ें।.
    • सर्वर नियमों के माध्यम से प्लगइन एंडपॉइंट्स को प्रतिबंधित करें: प्लगइन प्रशासन स्क्रिप्ट्स के लिए सीधे गैर-प्रशासक पहुंच को अस्वीकार करें।.
  3. आभासी पैचिंग / WAF नियम लागू करें (यदि उपलब्ध हो)

    • यदि आप WAF चला रहे हैं, तो थीम हेरफेर के लिए उपयोग किए जाने वाले प्लगइन एंडपॉइंट्स पर संदिग्ध अनुरोधों को ब्लॉक करें (नीचे उदाहरण देखें)।.
  4. क्रेडेंशियल्स का ऑडिट और रोटेट करें

    • योगदानकर्ता और संपादक खातों का ऑडिट करें। अज्ञात या संदिग्ध उपयोगकर्ताओं को हटा दें और प्रशासकों और अन्य विशेषाधिकार प्राप्त खातों के लिए पासवर्ड रीसेट करें।.
    • हाल की भूमिका परिवर्तनों या नए प्रशासक उपयोगकर्ताओं की जांच करें।.
  5. समझौते के लिए स्कैन करें

    • एक पूर्ण मैलवेयर स्कैन और फ़ाइल अखंडता जांच चलाएँ। हाल ही में संशोधित थीम फ़ाइलों, अपलोड में अप्रत्याशित PHP फ़ाइलों और नए निर्धारित कार्यों की तलाश करें।.
  6. लॉग की निगरानी करें

    • प्रशासनिक क्रियाओं के लिए विस्तृत लॉगिंग सक्षम करें और योगदानकर्ता खातों से असामान्य गतिविधियों की समीक्षा करें। admin-ajax और किसी भी प्लगइन-विशिष्ट एंडपॉइंट्स पर POSTs को ट्रैक करें।.

वर्चुअल पैचिंग और WAF नियम — उदाहरण और मार्गदर्शन

आभासी पैचिंग (दुर्व्यवहार ट्रैफ़िक पैटर्न को ब्लॉक करना) तत्काल अपडेट संभव नहीं होने पर एक प्रभावी अस्थायी उपाय है। नीचे ModSecurity, nginx, या व्यावसायिक/क्लाउड WAFs के लिए उपयुक्त वैचारिक नियम विचार दिए गए हैं। उत्पादन से पहले स्टेजिंग पर नियमों का परीक्षण करें और वैध प्रशासनिक ट्रैफ़िक को ब्लॉक करने से बचें।.

उदाहरण 1 — ज्ञात प्लगइन प्रशासन एंडपॉइंट्स पर अनधिकृत POSTs को ब्लॉक करें

SecRule REQUEST_METHOD "POST" "chain,deny,status:403,msg:'संभावित Xpro थीम बिल्डर शोषण को ब्लॉक करें'"

व्याख्या: जब सत्र एक प्रमाणित प्रशासक नहीं होता है, तो xpro_* से मेल खाने वाले admin-ajax क्रियाओं के लिए POSTs को अस्वीकार करें।.

उदाहरण 2 — संवेदनशील क्रियाओं के लिए WordPress nonce की आवश्यकता

SecRule REQUEST_METHOD "POST" "chain,deny,msg:'थीम क्रिया के लिए WP nonce गायब है'"

उपयुक्त रूप से पैरामीटर नामों को बदलें। यदि आप nonce नाम की पहचान नहीं कर सकते हैं, तो गैर-प्रशासक सत्रों से प्लगइन एंडपॉइंट्स पर POSTs को ब्लॉक करने पर विचार करें।.

उदाहरण 3 — निम्न-विशेषाधिकार सत्रों के लिए स्थिति-परिवर्तन HTTP विधियों को प्रतिबंधित करें

SecRule REQUEST_URI "@rx xpro" "chain,deny,msg:'Xpro एंडपॉइंट्स के लिए स्थिति-परिवर्तन विधियों की अनुमति न दें'"

नोट्स:

  • व्यापक नियमों से बचें जो वैध REST API या admin-ajax उपयोग में हस्तक्षेप करते हैं।.
  • अनधिकृत या निम्न-विशेषाधिकार सत्रों से स्थिति-परिवर्तन अनुरोधों को अस्वीकार करने वाले नियमों को प्राथमिकता दें, बजाय समग्र ब्लॉकिंग के।.
  • यदि सुनिश्चित नहीं हैं, तो सटीक हस्ताक्षर और तैनाती रणनीतियों को तैयार करने के लिए एक विश्वसनीय सुरक्षा संचालन संसाधन से परामर्श करें।.

पहचान और समझौते के संकेत (IoCs)

यदि आपको शोषण का संदेह है या संकेतों की खोज करना चाहते हैं, तो निम्नलिखित की जांच करें:

  • थीम फ़ाइलों में अप्रत्याशित संपादन (संशोधित समय-चिह्न /wp-content/themes/* में)।.
  • /wp-content/uploads/ या अन्य लिखने योग्य निर्देशिकाओं में नए या संशोधित PHP फ़ाइलें।.
  • अपरिचित स्क्रिप्टों का संदर्भ देने वाले अप्रत्याशित अनुसूचित कार्य (क्रोन प्रविष्टियाँ)।.
  • अप्रत्याशित उपयोगकर्ता भूमिका परिवर्तन (योगदानकर्ता को संपादक/व्यवस्थापक में बढ़ाना)।.
  • निम्न-विशेषाधिकार खातों से admin-ajax.php या प्लगइन प्रशासन अंत बिंदुओं के लिए POST अनुरोध।.
  • योगदानकर्ता या सदस्य खातों द्वारा किए गए असामान्य प्रशासन पैनल क्रियाएँ।.
  • PHP प्रक्रियाओं से अज्ञात होस्टों के लिए आउटबाउंड नेटवर्क कॉल।.
  • आपके द्वारा चुने गए स्कैनर से मैलवेयर स्कैन अलर्ट।.

लॉग कैसे खोजें

  • वेब सर्वर एक्सेस लॉग: संदिग्ध क्रिया पैरामीटर वाले /wp-admin/admin-ajax.php या /wp-json/* के लिए POSTs को फ़िल्टर करें।.
  • वर्डप्रेस गतिविधि लॉग (यदि उपलब्ध हो): “update_theme”, “edit_theme”, “upload”, और उपयोगकर्ता भूमिका संशोधनों के लिए हाल की क्रियाओं की समीक्षा करें।.
  • फ़ाइल प्रणाली: चलाएँ find . -type f -mtime -30 हाल ही में संशोधित फ़ाइलों की सूची बनाने के लिए अपने वेब रूट में।.

फोरेंसिक्स और घटना प्रतिक्रिया चेकलिस्ट

यदि आपको समझौते के संकेत मिलते हैं, तो एक नियंत्रित प्रक्रिया का पालन करें:

  1. अलग करें

    • यदि जोखिम उच्च है तो साइट को ऑफ़लाइन ले जाएँ या एक रखरखाव पृष्ठ प्रदर्शित करें।.
    • प्रशासनिक पासवर्ड और API कुंजियाँ बदलें, लेकिन विनाशकारी परिवर्तनों से पहले स्थिति को दस्तावेज़ करें और साक्ष्य को संरक्षित करें जहाँ संभव हो।.
  2. लॉग और सबूत को संरक्षित करें

    • वेब सर्वर, PHP, और अनुप्रयोग लॉग का निर्यात करें। डेटाबेस और फ़ाइल प्रणाली के स्नैपशॉट लें।.
  3. स्कैन और साफ करें

    • इंजेक्टेड फ़ाइलों और बैकडोर को खोजने के लिए विश्वसनीय मैलवेयर स्कैनर और फ़ाइल अखंडता उपकरणों का उपयोग करें।.
    • वेब शेल और बैकडोर हटाएं; ज्ञात-भले बैकअप से संशोधित प्लगइन/थीम फ़ाइलों को पुनर्स्थापित करें।.
  4. रहस्यों को फिर से जारी करें

    • क्रेडेंशियल्स (डेटाबेस, SMTP, बाहरी APIs) को घुमाएं और उजागर किए गए टोकन को रद्द करें।.
  5. पुष्टि करें और पुनर्स्थापित करें

    • अपडेट लागू करें (जिसमें Xpro थीम बिल्डर 1.2.10 या बाद के संस्करण शामिल हैं) और साइट को फिर से मजबूत करें।.
    • सुधार के बाद कम से कम 30 दिनों तक निकटता से निगरानी करें।.
  6. रिपोर्ट करें और दस्तावेज़ बनाएं

    • सभी सुधारात्मक कदम, हटाई गई फ़ाइलें, और खाता परिवर्तनों को रिकॉर्ड करें। आवश्यकतानुसार हितधारकों और अपने होस्टिंग प्रदाता को सूचित करें।.

यदि आप सफाई और फोरेंसिक्स करने में सहज नहीं हैं, तो एक घटना प्रतिक्रिया विशेषज्ञ को शामिल करें।.

दीर्घकालिक हार्डनिंग सिफारिशें

भविष्य के जोखिम को कम करने के लिए इन प्रथाओं को अपनाएं:

  1. न्यूनतम विशेषाधिकार का सिद्धांत

    • आवश्यक न्यूनतम भूमिकाएँ सौंपें। नियमित रूप से उपयोगकर्ता खातों की समीक्षा करें और पुराने खातों को हटा दें।.
  2. प्लगइन जीवनचक्र को सुरक्षित करें

    • प्लगइन्स, थीम और कोर को अपडेट रखें। जहां संभव हो, स्टेजिंग में अपडेट का परीक्षण करें।.
    • आप जिन प्लगइन्स का उपयोग करते हैं, उनके लिए भेद्यता सूचनाओं की सदस्यता लें।.
  3. प्रबंधित सुरक्षा और स्कैनिंग का उपयोग करें

    • त्वरित शमन और पहचान के लिए प्रबंधित WAF और अनुसूचित मैलवेयर स्कैन पर विचार करें।.
  4. कस्टम कोड में नॉनस और क्षमता जांच

    • सुनिश्चित करें कि कस्टम एंडपॉइंट्स वर्डप्रेस नॉनस और उपयोगकर्ता क्षमताओं को मान्य करते हैं (current_user_can() का उपयोग करें)।.
  5. व्यवस्थापक पहुंच को सीमित करें

    • wp-admin के लिए IP अनुमति सूची, दो-कारक प्रमाणीकरण (2FA), और HTTP प्रमाणीकरण का उपयोग करें। यदि आवश्यक न हो तो XML-RPC को अक्षम करें।.
  6. निरंतर निगरानी और लॉगिंग

    • ऑडिट ट्रेल्स और महत्वपूर्ण घटनाओं की साप्ताहिक समीक्षाएँ बनाए रखें। असामान्य व्यवहार पर अलर्ट करें।.
  7. अपलोड और फ़ाइल लेखन को मजबूत करें।

    • अपलोड में निष्पादन को रोकें, सुरक्षित अनुमतियाँ लागू करें, और संदिग्ध फ़ाइलों के लिए नियमित रूप से स्कैन करें।.
  8. नियमित बैकअप।

    • स्वचालित, ऑफसाइट बैकअप रखें और समय-समय पर पुनर्स्थापन प्रक्रियाओं का परीक्षण करें।.

प्रबंधित WAF और सुरक्षा विकल्प

एक प्रबंधित WAF शोषण प्रयासों को रोककर और अपडेट करते समय आभासी पैच प्रदान करके जोखिम को कम कर सकता है। ऐसे प्रदाताओं या होस्टिंग भागीदारों की तलाश करें जो:

  • ज्ञात शोषण पैटर्न को ब्लॉक करें और प्लगइन एंडपॉइंट्स के लिए अनुकूलित नियम लागू करें;
  • मैलवेयर स्कैनिंग और फ़ाइल अखंडता निगरानी प्रदान करें;
  • झूठे सकारात्मक से बचने के लिए आभासी पैच और नियम ट्यूनिंग की तेज़ तैनाती की पेशकश करें;
  • पहचान और प्रतिक्रिया को तेज़ करने के लिए लॉगिंग और अलर्टिंग को एकीकृत करें।.

प्रतिष्ठित प्रदाताओं का चयन करें और उनके सटीक, परीक्षण किए गए नियमों को लागू करने की क्षमता की पुष्टि करें - न कि अत्यधिक व्यापक हस्ताक्षर जो कार्यक्षमता को तोड़ते हैं।.

अंतिम नोट्स और अगले कदम।

  1. सभी साइटों पर Xpro थीम बिल्डर को खोजें और अपडेट करें। 1.2.10 या बाद का। तुरंत।.
  2. योगदानकर्ता खातों और पंजीकरण सेटिंग्स का ऑडिट करें।.
  3. यदि आप सभी साइटों को एक साथ अपडेट नहीं कर सकते हैं, तो प्लगइन एंडपॉइंट्स पर संदिग्ध POSTs को ब्लॉक करने के लिए WAF आभासी पैच लागू करें और जहाँ संभव हो नॉनस जांच की आवश्यकता करें।.
  4. समझौते के संकेतों के लिए साइटों को स्कैन करें (अप्रत्याशित फ़ाइल परिवर्तन, अपलोड में नए PHP फ़ाइलें)।.
  5. यदि आवश्यक हो, तो सुधार में सहायता के लिए एक विश्वसनीय सुरक्षा पेशेवर या घटना प्रतिक्रियाकर्ता को संलग्न करें।.

टूटी हुई पहुँच नियंत्रण कागज पर छोटी हो सकती है और व्यवहार में गंभीर। त्वरित, समन्वित कार्रवाई - पैचिंग, ऑडिटिंग भूमिकाएँ, आभासी पैच लागू करना, और निगरानी - जोखिम को महत्वपूर्ण रूप से कम करेगी।.

सुरक्षित रहें,
हांगकांग सुरक्षा विशेषज्ञ

संदर्भ और संसाधन

  • CVE-2025-58198 (सार्वजनिक कमजोरियों की पहचान)
  • Xpro थीम बिल्डर — 1.2.10 में अपडेट (विक्रेता सलाह)
  • वर्डप्रेस हार्डनिंग दस्तावेज़ (भूमिका और क्षमता मार्गदर्शन)
  • आपके होस्टिंग या सुरक्षा भागीदार से सामान्य WAF और मैलवेयर स्कैनिंग मार्गदर्शन
0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा चेतावनी UiCore तत्व XSS(CVE202558196)

अगला लेख —

Epeken All Kurir Plugin XSS सुरक्षा नोटिस (CVE202558212)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

बीवर बिल्डर परावर्तित क्रॉस साइट स्क्रिप्टिंग कमजोरियाँ (CVE20258897)

  • अगस्त 28, 2025
वर्डप्रेस बीवर बिल्डर प्लगइन (लाइट संस्करण) प्लगइन <= 2.9.2.1 - परावर्तित क्रॉस-साइट स्क्रिप्टिंग कमजोरियाँ