Wवर्डप्रेस भेद्यता डेटाबेस

समुदाय अलर्ट XSS इन पृष्ठ शीर्षक विभाजक(CVE202562744)

वर्डप्रेस पृष्ठ शीर्षक विभाजक प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0






Urgent Advisory: XSS in Page Title Splitter (≤ 2.5.9)


प्लगइन का नाम पृष्ठ शीर्षक विभाजक
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2025-62744
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-12-31
स्रोत URL CVE-2025-62744

तत्काल सुरक्षा सलाह: “पृष्ठ शीर्षक विभाजक” वर्डप्रेस प्लगइन (≤ 2.5.9) में क्रॉस-साइट स्क्रिप्टिंग (XSS)

प्रकाशित: 2025-12-31 · CVE-2025-62744 · हांगकांग स्थित सुरक्षा प्रैक्टिशनर सलाह

सारांश

  • एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता वर्डप्रेस प्लगइन “पृष्ठ शीर्षक विभाजक” के संस्करणों को प्रभावित करती है जो 2.5.9 तक और शामिल हैं (CVE-2025-62744)।.
  • इस सलाह के समय कोई आधिकारिक विक्रेता पैच उपलब्ध नहीं था। भेद्यता का CVSS-समान प्रभाव लगभग 6.5 है; इसे शोषण करने के लिए कम से कम एक योगदानकर्ता-स्तरीय उपयोगकर्ता और उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है।.
  • यदि आपकी साइट अविश्वसनीय योगदानकर्ताओं को अनुमति देती है या ऐसे स्टाफ हैं जो योगदानकर्ताओं से सामग्री का पूर्वावलोकन या क्लिक करते हैं, तो इसे उच्च प्राथमिकता वाले शमन कार्य के रूप में मानें।.

मैं एक हांगकांग स्थित वर्डप्रेस सुरक्षा प्रैक्टिशनर के रूप में लिख रहा हूँ। यह सलाह स्पष्ट, व्यावहारिक कदम देती है जिन्हें आप जल्दी लागू कर सकते हैं - न्यूनतम सिद्धांत, साइट मालिकों, ऑपरेटरों और प्लगइन डेवलपर्स के लिए सीधे कार्य।.

यह कमजोरी क्या है?

  • प्रकार: क्रॉस-साइट स्क्रिप्टिंग (XSS)
  • प्रभावित सॉफ़्टवेयर: वर्डप्रेस के लिए पृष्ठ शीर्षक विभाजक प्लगइन
  • प्रभावित संस्करण: ≤ 2.5.9
  • CVE: CVE-2025-62744
  • रिपोर्ट किया गया: मुहम्मद युधा - DJ
  • हमले की पूर्व शर्तें: हमलावर को लक्षित साइट पर एक योगदानकर्ता-स्तरीय खाता (या समान) और कुछ उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है (शिकार एक तैयार लिंक पर क्लिक करता है या एक पृष्ठ देखता है)।.
  • प्रभाव: इंजेक्ट किया गया जावास्क्रिप्ट/HTML साइट विज़िटर्स या लॉगिन किए गए उपयोगकर्ताओं के संदर्भ में चल सकता है, सत्र चोरी, विशेषाधिकार वृद्धि, सामग्री हेरफेर, रीडायरेक्ट या क्लाइंट-साइड पेलोड सक्षम करता है।.

उच्च-स्तरीय तकनीकी विवरण (गैर-शोषणकारी)

यह संग्रहीत XSS तब होता है जब उपयोगकर्ता द्वारा प्रदान किया गया डेटा पर्याप्त एस्केपिंग/कोडिंग के बिना आउटपुट किया जाता है। प्लगइन शीर्षकों और UI तत्वों को संसाधित करता है जो बाद में अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले पृष्ठों में प्रस्तुत किए जाते हैं। जब अविश्वसनीय इनपुट को डेटा के बजाय HTML के रूप में माना जाता है, तो स्क्रिप्ट इंजेक्शन संभव हो जाता है। भेद्यता को इंटरैक्शन और एक योगदानकर्ता खाते की आवश्यकता होती है, इसलिए यह बिना प्रमाणीकरण वाले दूरस्थ हमलों की तुलना में कम तुच्छ है, लेकिन फिर भी कई संपादकीय कार्यप्रवाहों में यथार्थवादी है।.

यह आपके साइट के लिए क्यों महत्वपूर्ण है

योगदानकर्ता की आवश्यकता और उपयोगकर्ता इंटरैक्शन के बावजूद, कई वर्डप्रेस साइटें इस कारण से उजागर हैं:

  • बाहरी योगदानकर्ताओं (अतिथि लेखक, समुदाय के सदस्य) को आमतौर पर पोस्ट करने की अनुमति दी जाती है।.
  • संपादक और प्रशासक नियमित रूप से पूर्वावलोकन लिंक पर क्लिक करते हैं या प्रस्तुतियों की समीक्षा करते हैं।.
  • साझा क्रेडेंशियल, लंबे सत्र और स्वचालन पिवट या स्थायीता के जोखिम को बढ़ाते हैं।.

वास्तविक शोषण परिदृश्य

  • लक्षित सामाजिक इंजीनियरिंग: एक दुर्भावनापूर्ण योगदानकर्ता एक तैयार शीर्षक के साथ एक पोस्ट प्रस्तुत करता है जिसमें एक पेलोड होता है। एक संपादक पोस्ट का पूर्वावलोकन करता है या उसे खोलता है और स्क्रिप्ट उनके ब्राउज़र में निष्पादित होती है।.
  • संग्रहीत XSS स्थिरता: पेलोड सामग्री में संग्रहीत होता है और जब भी पृष्ठ देखा जाता है, तब सक्रिय होता है, जिससे कई उपयोगकर्ताओं पर प्रभाव पड़ता है।.
  • विकृति और रीडायरेक्ट: हमलावर पृष्ठ की सामग्री को बदल सकते हैं, आगंतुकों को धोखाधड़ी वाले पृष्ठों पर रीडायरेक्ट कर सकते हैं या अतिरिक्त दुर्भावनापूर्ण संसाधनों को इंजेक्ट कर सकते हैं।.
महत्वपूर्ण सीमाएँ: शोषण के लिए उपयोगकर्ता इंटरैक्शन और योगदानकर्ता विशेषाधिकार की आवश्यकता होती है। यह कीड़े जैसे फैलने की संभावना को कम करता है लेकिन गंभीर लक्षित जोखिम को समाप्त नहीं करता है।.

यह कैसे पता करें कि क्या आपको शोषित किया गया है

प्रभावित साइटों पर इन संकेतकों की खोज करें:

  • पृष्ठ स्रोत में अप्रत्याशित या अपरिचित जावास्क्रिप्ट। पोस्ट, टिप्पणियों या प्लगइन आउटपुट में आप जिन टैग की अपेक्षा नहीं करते हैं, उनकी खोज करें।.
  • उन पृष्ठों से अनिर्विवादित रीडायरेक्ट जो पहले रीडायरेक्ट नहीं करते थे।.
  • संदिग्ध सामग्री के साथ नए या परिवर्तित पोस्ट - शीर्षकों या छोटे सामग्री में असामान्य मार्कअप।.
  • अनधिकृत व्यवस्थापक उपयोगकर्ता या परिवर्तित उपयोगकर्ता भूमिकाएँ।.
  • साइट से बढ़ी हुई आउटगोइंग नेटवर्क गतिविधि (असामान्य बाहरी अनुरोधों के लिए सर्वर लॉग की जांच करें)।.
  • ब्राउज़र कंसोल त्रुटियाँ या तीसरे पक्ष के संसाधन जो पृष्ठों को देखने पर अप्रत्याशित रूप से प्रकट होते हैं।.

तात्कालिक कार्रवाई (अब लागू करें)

यदि आप लाइव साइट पर Page Title Splitter ≤ 2.5.9 चला रहे हैं, तो तुरंत ये कदम उठाएँ:

1) प्लगइन को अस्थायी रूप से निष्क्रिय करें या हटा दें

विक्रेता पैच उपलब्ध होने तक साइट-व्यापी प्लगइन को निष्क्रिय करें। प्लगइन को हटाने से तत्काल हमले की सतह समाप्त हो जाती है।.

2) योगदानकर्ता खातों को प्रतिबंधित और ऑडिट करें

  • जहां संभव हो, योगदानकर्ता की विशेषताओं को अस्थायी रूप से कम करें, या सक्रिय योगदानकर्ताओं को HTML इंजेक्ट करने की क्षमता कम करने वाले भूमिकाओं में परिवर्तित करें।.
  • योगदानकर्ता या उच्च विशेषताओं वाले उपयोगकर्ता खातों का ऑडिट करें; अज्ञात खातों के लिए क्रेडेंशियल्स को हटा दें या रीसेट करें।.

दुर्भावनापूर्ण सामग्री और बैकडोर के लिए स्कैन करें

  • पोस्ट, विकल्प, प्लगइन और थीम फ़ाइलों, और अपलोड का एक व्यापक स्कैन चलाएं। टैग, डेटा URI, base64-encoded blobs और इनलाइन इवेंट हैंडलर्स (onclick, onload, onerror) के लिए खोजें।.
  • हाल ही में संशोधित फ़ाइलों और संदिग्ध अनुसूचित कार्यों (WP-Cron प्रविष्टियाँ) की जांच करें।.

जहां उपयुक्त हो, मजबूर रीसेट और कुंजी घुमाएँ

  • यदि समझौता होने का संदेह है तो उच्च-विशेषता वाले खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें।.
  • यदि आप सत्र चोरी का संदेह करते हैं तो नमक और कुंजी घुमाएँ (wp-config.php में WP नमक अपडेट करें)।.

फोरेंसिक्स के लिए लॉग और बैकअप को संरक्षित करें

सबूत नष्ट करने वाले परिवर्तनों को करने से पहले एक पूर्ण बैकअप (फ़ाइलें + डेटाबेस) लें और सर्वर लॉग को संरक्षित करें।.

निगरानी बढ़ाएँ और स्टाफ को संक्षिप्त करें

  • संपादकों और योगदानकर्ताओं को बताएं कि जब तक साइट की समीक्षा नहीं की जाती, तब तक संदिग्ध पूर्वावलोकन लिंक पर क्लिक न करें।.
  • शमन के बाद कम से कम 72 घंटों तक पहुंच और अनुप्रयोग लॉग को ध्यान से मॉनिटर करें।.

प्लेटफ़ॉर्म-न्यूट्रल शमन जो आप अभी लागू कर सकते हैं

नीचे व्यावहारिक, विक्रेता-न्यूट्रल नियंत्रण हैं जो आधिकारिक पैच की प्रतीक्षा करते समय जोखिम को कम करते हैं।.

  • वर्चुअल पैचिंग / WAF नियम (जहां उपलब्ध हो): यदि आपके पास होस्टिंग या प्रबंधित सुरक्षा सेवा के माध्यम से एक वेब अनुप्रयोग फ़ायरवॉल (WAF) है, तो उन नियमों का अनुरोध करें जो शीर्षक/पोस्ट फ़ील्ड को लक्षित करने वाले सामान्य XSS पैटर्न वाले अनुरोधों को अवरुद्ध करते हैं।.
  • लक्षित इनपुट फ़िल्टरिंग: शीर्षक और कस्टम फ़ील्ड इनपुट में , javascript:, onerror=, onload= और संदिग्ध एन्कोडेड रूपांतरों वाले इनपुट को अवरुद्ध या चिह्नित करें। POST बॉडी और क्वेरी स्ट्रिंग दोनों की जांच करें।.
  • इनपुट आकार/चरित्र सीमाओं को लागू करें: अस्थायी रूप से शीर्षक की लंबाई को सीमित करें और असामान्य रूप से लंबे या एन्कोडेड इनपुट को अस्वीकार करें।.
  • प्रशासनिक पथों के लिए अधिक सख्त पहुंच की आवश्यकता है: जहां संभव हो, wp-admin और सबमिशन एंडपॉइंट्स को एक्सेस नियंत्रण (IP अनुमति-लिस्टिंग, केवल प्रशासनिक VPN, या समकक्ष) के साथ सुरक्षित करें।.
  • एक प्रतिबंधात्मक सामग्री सुरक्षा नीति (CSP) लागू करें: अनुमत स्क्रिप्ट स्रोतों को कम करें और जहां संभव हो, इनलाइन स्क्रिप्ट को अस्वीकार करें; यह शोषण के खिलाफ बाधा बढ़ाता है।.
  • नियमित स्कैनिंग और फ़ाइल अखंडता जांच: परिवर्तित फ़ाइलों और असामान्य सामग्री के लिए अनुसूचित स्कैन सक्षम करें। तुरंत अलर्ट की समीक्षा करें।.
  • अपलोड और थीम/प्लगइन निर्देशिकाओं को सुरक्षित करें: सर्वर को अपलोड फ़ोल्डरों से निष्पादन को अवरुद्ध करने के लिए कॉन्फ़िगर करें और wp-content/uploads के तहत PHP/JS के सीधे निष्पादन को सीमित करें।.

अवरोध नियमों को लिखते समय, वैध संपादकीय कार्यप्रवाह को तोड़ने वाले अत्यधिक व्यापक पैटर्न से बचें। पहले पहचान मोड में परीक्षण करें, फिर अवरोध सक्षम करें।.

घटना प्रतिक्रिया प्लेबुक (चरण-दर-चरण)

  1. शामिल करें: कमजोर प्लगइन को ऑफ़लाइन लें। प्रशासनिक क्षेत्र की पहुंच को सीमित करें (IP अनुमति-लिस्टिंग या रखरखाव मोड)। जहां समझौता होने का संदेह हो, सक्रिय सत्रों को रद्द करें।.
  2. सबूत को संरक्षित करें: एक फोरेंसिक बैकअप बनाएं: पूर्ण फ़ाइल सिस्टम + DB डंप + सर्वर लॉग। ऑफ़साइट स्टोर करें।.
  3. दायरा पहचानें: इंजेक्टेड स्क्रिप्ट, संदिग्ध पोस्ट, बागी उपयोगकर्ता, संशोधित फ़ाइलें, और अप्रत्याशित अनुसूचित कार्यों की खोज करें।.
  4. समाप्त करें: डेटाबेस से दुर्भावनापूर्ण सामग्री को हटा दें और संशोधित फ़ाइलों को विश्वसनीय स्रोतों से साफ संस्करणों के साथ बदलें।.
  5. पुनर्प्राप्त करें: यदि आवश्यक हो, तो एक सत्यापित साफ बैकअप से पुनर्स्थापित करें। सुधारों की पुष्टि के बाद केवल आधिकारिक रिपॉजिटरी से प्लगइन्स/थीम्स को फिर से स्थापित करें।.
  6. हार्डनिंग: न्यूनतम विशेषाधिकार लागू करें, मजबूत प्रमाणीकरण सक्षम करें, फ़ाइल संपादन को अक्षम करें, और 30 दिनों के लिए निगरानी बढ़ाएं।.
  7. घटना के बाद: मूल कारण, समयरेखा और शमन का दस्तावेजीकरण करें। यदि संवेदनशील डेटा उजागर हुआ है तो हितधारकों को सूचित करें।.

डेवलपर मार्गदर्शन - इसे सही तरीके से कैसे ठीक करें

यदि आप एक प्लगइन या थीम डेवलपर हैं, तो इन मानक हार्डनिंग चरणों के साथ मूल कारण को संबोधित करें:

  • आउटपुट पर एस्केप करें: रेंडर करते समय डेटा को एस्केप करें। उपयुक्त फ़ंक्शन का उपयोग करें: esc_html(), esc_attr(), wp_kses_post() नियंत्रित HTML के लिए, और esc_js() इनलाइन स्क्रिप्ट संदर्भों के लिए।.
  • इनपुट पर सैनीटाइज करें: सामान्य पाठ के लिए sanitize_text_field() का उपयोग करें और किसी भी HTML की अनुमति देते समय wp_kses() के साथ एक कड़ा व्हाइटलिस्ट का उपयोग करें। केवल इनपुट सैनीटाइजेशन पर भरोसा न करें - हमेशा आउटपुट पर एस्केप करें।.
  • क्षमता जांच और नॉनस: हमेशा उपयोगकर्ता क्षमताओं (current_user_can()) की जांच करें और सहेजने और AJAX एंडपॉइंट्स पर नॉन्स (check_admin_referer(), check_ajax_referer()) की पुष्टि करें।.
  • अविश्वसनीय HTML को स्टोर करने से बचें: यदि संभव हो, तो स्टोरेज से पहले अनुमति न दिए गए HTML को हटा दें। यदि HTML को स्टोर करना आवश्यक है, तो कड़े wp_kses नियमों का उपयोग करें।.
  • REST और AJAX एंडपॉइंट्स को सुरक्षित करें: सर्वर-साइड पर इनपुट को मान्य और सैनीटाइज करें; अनुमतियों की जांच करें और DB क्वेरी के लिए तैयार बयानों का उपयोग करें।.
  • परीक्षण: CI में सुरक्षा परीक्षण शामिल करें: इनपुट को फज़ करें, इंजेक्शन परीक्षण चलाएं और एस्केपिंग/सैनीटाइजेशन व्यवहारों का परीक्षण करें।.

वर्डप्रेस प्रशासकों के लिए हार्डनिंग चेकलिस्ट

  • बिना रखरखाव या अप्रयुक्त प्लगइन्स को हटा दें या अक्षम करें।.
  • न्यूनतम विशेषाधिकार लागू करें: उपयोगकर्ताओं को केवल वही भूमिकाएँ दें जिनकी उन्हें आवश्यकता है।.
  • निम्न-विशेषाधिकार खातों के लिए बिना फ़िल्टर किए गए HTML को अक्षम करें; योगदानकर्ताओं के लिए KSES फ़िल्टरिंग सक्षम करें।.
  • उच्च स्तर के खातों के लिए मजबूत पासवर्ड और दो-कारक प्रमाणीकरण की आवश्यकता करें।.
  • कोर, थीम और विश्वसनीय प्लगइन्स को अपडेट रखें; सलाहों की निगरानी करें।.
  • प्रशासन में फ़ाइल संपादन को अक्षम करें: define(‘DISALLOW_FILE_EDIT’, true);
  • नियमित रूप से उपयोगकर्ता गतिविधि लॉग और सर्वर लॉग की समीक्षा करें; सामग्री परिवर्तनों में वृद्धि की जांच करें।.

सुरक्षित रोलबैक और पुनर्स्थापना मार्गदर्शन

  • यदि आप कमजोर प्लगइन को हटा देते हैं, तो केवल तभी पुनर्स्थापना करें जब एक आधिकारिक, सत्यापित सुधार उपलब्ध हो।.
  • बैकअप को पुनर्स्थापित करते समय, सुनिश्चित करें कि बैकअप साफ हैं और उत्पादन में लौटने से पहले स्कैन करें।.
  • अपडेट के बाद, साइट को अवशेष विसंगतियों के लिए फिर से स्कैन करें और मॉनिटर करें।.

सार्वजनिक प्रमाण‑अवधारणाओं के बारे में चेतावनी

सार्वजनिक PoC कोड हमलों को तेज कर सकता है। लाइव सिस्टम पर एक्सप्लॉइट कोड न चिपकाएँ या निष्पादित करें। संदिग्ध गतिविधियों की खोज के लिए उच्च-स्तरीय संकेतकों और लॉग का उपयोग करें। यदि आपको हाथों-पर घटना प्रतिक्रिया की आवश्यकता है, तो एक विश्वसनीय सुरक्षा पेशेवर से अनुबंध करें।.

यह XSS उदाहरण क्यों महत्वपूर्ण है

XSS का व्यापक रूप से शोषण किया जाता है क्योंकि यह सत्रों को हाईजैक कर सकता है, निम्न-स्तरीय खातों से विशेषाधिकार बढ़ा सकता है और दृश्यों के बीच बना रह सकता है। स्टोर किया गया XSS विशेष रूप से बहु-लेखक साइटों और संपादकीय कार्यप्रवाहों पर खतरनाक है।.

दीर्घकालिक रणनीति

  • कोड में मूल कारणों को ठीक करें: उचित एस्केपिंग और मान्यता।.
  • परतों की रक्षा करें: WAF, CSP, न्यूनतम विशेषाधिकार और निगरानी।.
  • घटनाओं के लिए तैयार रहें: व्यापक रूप से लॉग करें, रिकवरी प्लेबुक बनाए रखें और उनका परीक्षण करें।.

उपयोगकर्ता भूमिकाएँ और संपादकीय कार्यप्रवाह सिफारिशें

कई योगदानकर्ताओं वाली साइटों के लिए:

  • प्रकाशन से पहले अनिवार्य समीक्षा और मानव अनुमोदन लागू करें।.
  • अनुमोदन के लिए उत्पादन से अलग स्टेजिंग और पूर्वावलोकन कार्यप्रवाह का उपयोग करें।.
  • सामग्री के उत्पादन तक पहुँचने से पहले इनलाइन स्क्रिप्ट या संदिग्ध मार्कअप को पकड़ने के लिए प्री-सबमिट सर्वर-साइड जांच लागू करें।.

संपादकों और साइट उपयोगकर्ताओं के लिए त्वरित चेकलिस्ट

  • जब तक साइट को साफ नहीं किया गया है, तब तक अविश्वसनीय योगदानकर्ताओं से लिंक न खोलें।.
  • अपरिचित HTML या एम्बेडेड लिंक के साथ सामग्री का पूर्वावलोकन या अनुमोदन करने से बचें।.
  • प्रशासनिक कार्यों के लिए एक अलग ब्राउज़र प्रोफ़ाइल का उपयोग करें।.
  • जब सक्रिय रूप से मॉडरेट नहीं कर रहे हों तो प्रशासनिक सत्रों से लॉग आउट करें।.

यदि आपको मदद की आवश्यकता है

यदि आपको एक अनुकूलित शमन योजना (एकल साइट, बहु-साइट, या उद्यम) की आवश्यकता है, तो साइटों की संख्या और सामान्य उपयोगकर्ता भूमिकाएँ सूचीबद्ध करें (कितने प्रशासक, संपादक, योगदानकर्ता)। एक योग्य सुरक्षा पेशेवर या आपका होस्टिंग प्रदाता सटीक WAF नियम, स्कैनिंग चरण और वृद्धि प्लेबुक तैयार कर सकता है जिन्हें आप तुरंत लागू कर सकते हैं।.

संदर्भ और आगे की पढ़ाई

  • CVE-2025-62744
  • वर्डप्रेस प्लगइन रिपॉजिटरी — स्वामित्व और आधिकारिक अपडेट के लिए प्लगइन पृष्ठ की जांच करें।.
  • वर्डप्रेस डेवलपर हैंडबुक —escaping, sanitization और क्षमता गाइड।.

स्वीकृति: इस मुद्दे की जिम्मेदारी से रिपोर्ट करने वाले शोधकर्ता का धन्यवाद। जिम्मेदार प्रकटीकरण और समन्वित सुधार वर्डप्रेस पारिस्थितिकी तंत्र में जोखिम को कम करने के लिए आवश्यक बने रहते हैं।.

एक हांगकांग सुरक्षा पेशेवर द्वारा प्रकाशित — व्यावहारिक, सीधा और तत्काल सुरक्षा और विश्वसनीय वसूली पर केंद्रित।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

WooCommerce XSS (CVE202562096) के खिलाफ हांगकांग वेबसाइटों की सुरक्षा

अगला लेख —

समुदाय सुरक्षा सलाहकार XSS वर्डप्रेस स्लाइडर में (CVE202562097)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

वर्डप्रेस बारकोड स्कैनर फ़ाइल डाउनलोड भेद्यता (CVE202554715)

  • अगस्त 14, 2025
वर्डप्रेस बारकोड स्कैनर विद इन्वेंटरी & ऑर्डर मैनेजर प्लगइन प्लगइन <= 1.9.0 - मनमाना फ़ाइल डाउनलोड भेद्यता
Wवर्डप्रेस भेद्यता डेटाबेस

सुरक्षा सलाह सूची उपपृष्ठ प्लगइन स्टोर XSS(CVE20258290)

  • अगस्त 28, 2025
वर्डप्रेस सूची उपपृष्ठ प्लगइन <= 1.0.6 - प्रमाणित (योगदानकर्ता+) शीर्षक पैरामीटर के माध्यम से स्टोर क्रॉस-साइट स्क्रिप्टिंग भेद्यता