Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक सुरक्षा चेतावनी आसान डिजिटल डाउनलोड CSRF (CVE20258102)

वर्डप्रेस ईज़ी डिजिटल डाउनलोड्स प्लगइन
0
शेयर
0
0
0
0






Urgent: Easy Digital Downloads (<= 3.5.0) — CSRF Leading to Plugin Deactivation (CVE-2025-8102)


प्लगइन का नाम ईज़ी डिजिटल डाउनलोड
कमजोरियों का प्रकार क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF)
CVE संख्या CVE-2025-8102
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-19
स्रोत URL CVE-2025-8102

तत्काल: ईज़ी डिजिटल डाउनलोड्स (≤ 3.5.0) — CSRF प्लगइन निष्क्रियता की ओर ले जा रहा है (CVE-2025-8102)

एक हांगकांग सुरक्षा विशेषज्ञ द्वारा विश्लेषित — साइट मालिकों और प्रशासकों के लिए व्यावहारिक मार्गदर्शन, पहचान और शमन।.

सारांश

एक क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) भेद्यता जो ईज़ी डिजिटल डाउनलोड्स (EDD) के संस्करणों को प्रभावित करती है, 3.5.0 तक और इसमें, एक हमलावर को अनुरोध बनाने की अनुमति देती है जो प्लगइन निष्क्रियता की ओर ले जा सकती है। edd_sendwp_disconnect 8. और edd_sendwp_remote_install कोड पथ। यह समस्या EDD 3.5.1 (CVE-2025-8102) में ठीक की गई है। हालांकि भेद्यता का CVSS मध्यम (5.4) है और इसे कम/मध्यम पैच प्राथमिकता के रूप में वर्गीकृत किया गया है, वास्तविक दुनिया में शोषण स्टोर को बाधित कर सकता है, सुरक्षा को हटा सकता है, या आगे के हमलों को सक्षम कर सकता है। यह सलाह जोखिम, पहचान, तात्कालिक शमन और दीर्घकालिक नियंत्रणों को व्यावहारिक संचालन सुरक्षा दृष्टिकोण से समझाती है जो हांगकांग के वातावरण के लिए उपयुक्त है।.

CVE संदर्भ: CVE-2025-8102
कमजोर संस्करण: ईज़ी डिजिटल डाउनलोड्स ≤ 3.5.0
में ठीक किया गया: 3.5.1

क्या हुआ (संक्षेप में)

  • ईज़ी डिजिटल डाउनलोड्स के अंदर SendWP एकीकरण से संबंधित कार्यों में एक CSRF कमजोरी मौजूद है।.
  • उजागर किए गए एंडपॉइंट/क्रियाएँ एक हमलावर को प्लगइन निष्क्रियता (या दूरस्थ स्थापना/डिस्कनेक्ट कार्यप्रवाह) को प्रेरित करने की अनुमति देती हैं, जब एक प्रमाणित प्रशासक (या अन्य उच्च-विशेषाधिकार उपयोगकर्ता) एक दुर्भावनापूर्ण पृष्ठ लोड करता है या एक लिंक पर क्लिक करता है।.
  • ईज़ी डिजिटल डाउनलोड्स 3.5.1 में एक पैच जारी किया गया था जो इस समस्या को संबोधित करता है; साइट मालिकों को जल्द से जल्द अपडेट करना चाहिए।.

यह क्यों महत्वपूर्ण है

CSRF हमले इस बात पर निर्भर करते हैं कि पीड़ित लक्षित साइट में पर्याप्त विशेषाधिकारों के साथ प्रमाणित हो। व्यावहारिक रूप से:

  • यदि एक प्रशासक (या प्लगइन प्रबंधन क्षमता वाला उपयोगकर्ता) हमलावर-नियंत्रित पृष्ठ पर लॉग इन रहते हुए जाता है, तो हमलावर प्रशासक के ब्राउज़र को एक अनुरोध भेजने के लिए प्रेरित कर सकता है जो प्लगइन निष्क्रियता करता है या प्लगइन की स्थिति को बदलता है।.
  • EDD जैसे प्लगइन को निष्क्रिय करना भुगतान, आदेश प्रबंधन और अन्य महत्वपूर्ण ई-कॉमर्स कार्यप्रवाहों को बाधित कर सकता है।.
  • निष्क्रियता को एक कदम के रूप में उपयोग किया जा सकता है: सुरक्षा प्लगइनों या सुरक्षा को निष्क्रिय करें, फिर आगे की दुर्भावनापूर्ण गतिविधि करें।.
  • मध्यम CVSS के साथ भी, एक ई-कॉमर्स साइट पर व्यावसायिक प्रभाव उच्च हो सकता है (खोई हुई आय, टूटी हुई चेकआउट, अटके हुए डाउनलोड, या प्रतिष्ठा को नुकसान)।.

उच्च-स्तरीय तकनीकी मूल कारण

कमजोर कार्य (edd_sendwp_disconnect 8. और edd_sendwp_remote_install) ऐसे तरीकों से कॉल करने योग्य थे जो मजबूत CSRF सुरक्षा और/या क्षमता जांच को लागू नहीं करते थे। CSRF के खिलाफ सामान्य वर्डप्रेस रक्षा नॉनस फ़ील्ड हैं (wp_verify_nonce) और क्षमता जांच (current_user_can). यदि ये गायब हैं या बायपास किए जा सकते हैं, तो एक हमलावर एक फॉर्म या एक इमेज टैग/स्क्रिप्ट तैयार कर सकता है जो एक व्यवस्थापक ब्राउज़र को एंडपॉइंट को ट्रिगर करने के लिए मजबूर करता है। 3.5.1 में सुधार उचित जांच लागू करता है और इन एंडपॉइंट्स को CSRF के खिलाफ सील करता है या उन्हें अनुमत संदर्भों तक सीमित करता है।.

नोट: यह सलाहकार शोषण कोड वितरित करने से बचता है। नीचे दी गई मार्गदर्शिका पहचान और सुरक्षित शमन को कवर करती है।.

यथार्थवादी हमले के परिदृश्य

  1. व्यवस्थापक हमलावर पृष्ठ पर जाता है।. एक हमलावर एक फ़िशिंग ईमेल भेजता है या एक दुर्भावनापूर्ण लिंक पोस्ट करता है। एक व्यवस्थापक जो लॉग इन है, पृष्ठ पर जाता है और पृष्ठ प्रभावित EDD क्रिया के लिए एक पृष्ठभूमि अनुरोध (जैसे, एक छिपा हुआ फॉर्म POST या स्क्रिप्ट) जारी करता है। प्लगइन बिना व्यवस्थापक की मंशा के निष्क्रिय हो जाता है।.
  2. समझौता किया गया निम्न-विशेषाधिकार खाता प्रभाव को बढ़ाता है।. यदि विशेषाधिकार पृथक्करण कमजोर है और एक गैर-व्यवस्थापक खाता गलत कॉन्फ़िगरेशन के कारण व्यवस्थापक-स्तरीय कार्यप्रवाह तक पहुँच सकता है, तो CSRF की पहुँच अपेक्षा से अधिक हो सकती है।.
  3. स्वचालित सामूहिक लक्ष्यीकरण।. हमलावर सामान्य पृष्ठों या विज्ञापनों को तैयार कर सकते हैं जो कई साइट व्यवस्थापकों को लक्षित करते हैं। क्योंकि शोषण के लिए केवल एक व्यवस्थापक सत्र की आवश्यकता होती है, अवसरवादी सामूहिक शोषण संभव है।.

पहचान — क्या देखना है (समझौते के संकेत)

लॉग और UI की जांच करें कि क्या कोई प्लगइन अप्रत्याशित रूप से निष्क्रिय हुआ है या संदिग्ध व्यवस्थापक-पक्ष अनुरोधों के लिए:

  • वर्डप्रेस व्यवस्थापक (प्लगइन्स पृष्ठ) में अप्रत्याशित प्लगइन निष्क्रियता टाइमस्टैम्प। यदि यह रखरखाव की खिड़कियों के बाहर और बिना व्यवस्थापक नोट के हुआ, तो जांच करें।.
  • वेब सर्वर / एक्सेस लॉग: वर्डप्रेस व्यवस्थापक एंडपॉइंट्स पर संदिग्ध क्वेरी पैरामीटर या क्रिया नामों के साथ POST अनुरोध। देखें admin-ajax.php या admin-post.php अनुरोध जो शामिल करते हैं पैरामीटर या क्रियाएँ नामित edd_sendwp_disconnect, edd_sendwp_remote_install या अन्य sendwp/edd संबंधित क्रिया स्ट्रिंग।.
  • ऑडिट लॉग (यदि उपलब्ध हो): प्लगइन निष्क्रियता घटनाएँ उस उपयोगकर्ता को रिकॉर्ड करनी चाहिए जिसने परिवर्तन किया। यदि निष्क्रियता होती है और उपयोगकर्ता कोई कार्रवाई नहीं करता है, तो इसे संदिग्ध मानें।.
  • WP‑CLI या डेटाबेस जांच: प्लगइन स्थिति और हाल के परिवर्तनों की जांच के लिए WP-CLI का उपयोग करें।.
  • फ़ाइल प्रणाली / प्लगइन फ़ोल्डर: यदि प्लगइन केवल निष्क्रिय करने के बजाय हटा दिया गया था, तो फ़ाइल प्रणाली और बैकअप लॉग की जांच करें।.

उदाहरण कमांड (केवल निरीक्षण के लिए):

# WP-CLI के साथ प्लगइन स्थिति की जांच करें"

तुरंत उठाने के लिए कदम (अगले 24 घंटे)

  1. Easy Digital Downloads को 3.5.1 (या बाद में) अपडेट करें।. यह सबसे महत्वपूर्ण कदम है। वर्डप्रेस प्रशासन से या WP-CLI के माध्यम से प्लगइन अपडेट लागू करें:
    • वर्डप्रेस प्रशासन: डैशबोर्ड → अपडेट → प्लगइनों को अपडेट करें।.
    • WP-CLI: wp प्लगइन अपडेट easy-digital-downloads
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अस्थायी उपाय लागू करें:
    • बाहरी स्रोतों से कमजोर क्रियाओं को कॉल करने का प्रयास करने वाले अनुरोधों को ब्लॉक करने के लिए परिधीय नियम (WAF / रिवर्स प्रॉक्सी) लागू करें। /wp-admin/admin-ajax.php या /wp-admin/admin-post.php जो क्रिया पैरामीटर शामिल करते हैं उन्हें POST अनुरोधों को ब्लॉक या चुनौती दें edd_sendwp_disconnect या edd_sendwp_remote_install, जब तक कि वे वैध प्रशासन UI प्रवाह से उत्पन्न न हों।.
    • प्रशासनिक पक्ष के अनुरोधों के लिए संदर्भ जांच या उत्पत्ति सत्यापन पर विचार करें - ध्यान दें कि यह वैध कार्यप्रवाह को तोड़ सकता है और पहले परीक्षण किया जाना चाहिए।.
    • यदि SendWP एकीकरण या संबंधित EDD सुविधाएँ उपयोग में नहीं हैं तो उन्हें बंद करें (प्लगइन सेटिंग्स से)।.
    • जहां संचालनात्मक रूप से संभव हो, विश्वसनीय IP पते तक प्लगइन प्रबंधन को सीमित करें: /wp-admin/plugins.php और वेब सर्वर-स्तरीय अनुमति सूचियों का उपयोग करके प्लगइन प्रबंधन अंत बिंदुओं को सीमित करें।.
  3. प्रशासनिक सत्रों को मजबूत करें:
    • सभी प्रशासनिक उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण (2FA) की आवश्यकता करें।.
    • प्लगइन प्रबंधन क्षमता वाले उपयोगकर्ताओं की संख्या को कम करें (प्रबंधित_विकल्प, सक्रिय_प्लगइन्स, आदि)।.
    • निष्क्रिय प्रशासनिक सत्रों से लॉग आउट करें और जहां संभव हो सत्र टाइमआउट को छोटा करें।.
  4. बैकअप और रोलबैक योजना: सुनिश्चित करें कि आपके पास हाल के बैकअप (फाइलें और DB) हैं। यदि सुधार के दौरान कुछ गलत होता है या एक हमले का पता लगाया जाता है, तो ज्ञात अच्छे बिंदु पर पुनर्स्थापित करें।.
  5. निगरानी: प्लगइन निष्क्रियकरण और प्रशासनिक अंत बिंदु अनुरोधों के लिए ऑडिट लॉग की जांच करने की आवृत्ति बढ़ाएँ। प्लगइन सक्रियण स्थिति में परिवर्तनों के लिए अलर्टिंग सक्षम करें।.
  • सभी प्लगइन्स और वर्डप्रेस कोर को अपडेट रखें; नियमित पैचिंग विंडो निर्धारित करें और पहले स्टेजिंग पर अपडेट का परीक्षण करें।.
  • न्यूनतम विशेषाधिकार अपनाएं: सुनिश्चित करें कि केवल आवश्यक खातों के पास प्लगइन स्थापना/सक्रियण अनुमतियाँ हैं।.
  • सभी प्रशासनिक खातों में 2FA लागू करें।.
  • परिधीय नियंत्रण (WAF/रिवर्स प्रॉक्सी) का उपयोग करें जो प्रशासनिक AJAX और प्रशासनिक POST एंडपॉइंट्स की जांच करते हैं कि क्या गैर-मौजूद नॉनसेस या अमान्य मूल हैं।.
  • जब आपकी संचालन अनुमति दे, तो संवेदनशील प्रशासनिक एंडपॉइंट्स के एक्सपोजर को विश्वसनीय IP रेंज तक सीमित करें।.
  • प्लगइन इंस्टॉलेशन/निष्क्रियता पर कैप्चर और अलर्ट करने के लिए एक प्रशासनिक गतिविधि ऑडिट ट्रेल या SIEM एकीकरण लागू करें।.
  • स्टाफ को प्रशिक्षित करें: प्रशासनिक खातों में लॉग इन करते समय अज्ञात/अविश्वसनीय URLs पर ब्राउज़िंग से बचें। ब्राउज़िंग सत्रों को अलग करें—सामान्य वेब ब्राउज़िंग के लिए गैर-प्रशासनिक ब्राउज़र का उपयोग करें।.

सुरक्षा दृष्टिकोण: वर्चुअल पैचिंग और WAF कवरेज (विक्रेता-स्वतंत्र)

अल्पकालिक में, परिधीय पर वर्चुअल पैचिंग (WAF, रिवर्स प्रॉक्सी नियम, या वेब सर्वर नियम) आधिकारिक प्लगइन पैच लागू होने तक शोषण जोखिम को कम कर सकती है। अनुशंसित, विक्रेता-स्वतंत्र क्रियाएँ:

  • कमजोर अनुरोध पैटर्न की पहचान करें: POST अनुरोध /wp-admin/admin-ajax.php या /wp-admin/admin-post.php जिनके क्रिया पैरामीटर कमजोर एंडपॉइंट्स से मेल खाते हैं (edd_sendwp_disconnect, edd_sendwp_remote_install).
  • इन क्रिया नामों को कॉल करने वाले अनुरोधों को ब्लॉक या चुनौती (कैप्चा / HTTP चुनौती) करें जब तक कि वे मान्य कुकीज़ और नॉनसेस के साथ प्रमाणित प्रशासनिक संदर्भों से उत्पन्न न हों।.
  • उन क्रियाओं के लिए वर्डप्रेस नॉनस की उपस्थिति और बुनियादी वैधता की पुष्टि करें जो एक को शामिल करना चाहिए; एक मान्य नॉनस की कमी वाले अनुरोधों को ब्लॉक करें।.
  • प्रशासनिक एंडपॉइंट्स के खिलाफ स्वचालित सामूहिक हिट को थ्रॉटल और ब्लॉक करें और इन विशिष्ट क्रिया नामों को लक्षित करने वाले स्पाइक्स पर अलर्ट करें।.
  • वैध प्रशासनिक कार्यप्रवाह पर अप्रत्यक्ष प्रभाव को कम करने के लिए सामान्य ब्लॉकों के बजाय लक्षित नियम लागू करें। उत्पादन तैनाती से पहले स्टेजिंग में परीक्षण करें।.

याद रखें: परिधीय नियंत्रण जोखिम को कम करते हैं लेकिन आधिकारिक प्लगइन अपडेट लागू करने के स्थान पर नहीं आते।.

कैसे सत्यापित करें कि आपकी साइट सुरक्षित है

  1. प्लगइन संस्करण की पुष्टि करें: वर्डप्रेस प्रशासन → प्लगइन्स → ईज़ी डिजिटल डाउनलोड्स v3.5.1 या बाद का दिखाता है, या चलाएँ wp प्लगइन प्राप्त करें easy-digital-downloads --field=version.
  2. प्रशासनिक एंडपॉइंट्स के लिए अवरुद्ध या संदिग्ध अनुरोधों के लिए वेब सर्वर एक्सेस लॉग की समीक्षा करें।.
  3. प्रभावित क्रियाओं को कॉल करने के प्रयासों के लिए ऑडिट लॉग की जांच करें।.
  4. पैचिंग और किसी भी WAF नियमों के बाद स्टेजिंग में प्रशासनिक कार्यप्रवाहों का परीक्षण करें ताकि यह सुनिश्चित हो सके कि कार्यक्षमता बरकरार है।.
  5. यदि अस्थायी ब्लॉक्स या अनुमति सूचियाँ लागू की गई थीं, तो उन्हें दस्तावेज़ करें और प्लगइन अपडेट होने पर समीक्षा के लिए शेड्यूल करें।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आप शोषण का संदेह करते हैं)

  1. अलग करें: यदि आप चल रहे शोषण प्रयासों का पता लगाते हैं तो प्रशासनिक कार्यों के लिए सार्वजनिक पहुंच को अक्षम करें।.
  2. प्लगइन की स्थिति की पुष्टि करें: क्या Easy Digital Downloads निष्क्रिय किया गया था? किस उपयोगकर्ता ने परिवर्तन किया? ऑडिट लॉग की जांच करें।.
  3. सुरक्षा को फिर से सक्षम करें: EDD 3.5.1 में अपडेट करें और केवल तब प्लगइन को फिर से सक्रिय करें जब कोई समझौते के संकेत न हों।.
  4. क्रेडेंशियल्स को घुमाएं: प्रभावित उपयोगकर्ताओं के लिए प्रशासनिक क्रेडेंशियल्स को घुमाएँ और सभी सत्रों से लॉगआउट करने के लिए मजबूर करें।.
  5. अखंडता जांच: अप्रत्याशित परिवर्तनों के लिए फ़ाइल सिस्टम को स्कैन करें और प्लगइन PHP फ़ाइलों में छेड़छाड़ की जांच करें।.
  6. यदि आवश्यक हो तो पुनर्स्थापित करें: यदि अनधिकृत परिवर्तन पाए जाते हैं और उन्हें सुरक्षित रूप से ठीक नहीं किया जा सकता है तो बैकअप से पुनर्स्थापित करें।.
  7. मूल कारण विश्लेषण: यह निर्धारित करें कि प्रशासनिक को कैसे धोखा दिया गया - फ़िशिंग, दुर्भावनापूर्ण विज्ञापन, या स्वचालित सामूहिक हमला?
  8. अतिरिक्त कठिनाई लागू करें: 2FA, IP प्रतिबंध, प्रशासनिक संख्या में कमी और बेहतर निगरानी।.
  9. सीखे गए पाठों का दस्तावेज़ीकरण करें और निगरानी और चेतावनी थ्रेशोल्ड को तदनुसार समायोजित करें।.

प्लगइन डेवलपर्स के लिए मार्गदर्शन (यह क्यों होता है और इसे कैसे रोका जाए)

  • राज्य-परिवर्तनकारी क्रियाओं को नॉनसेस के साथ सुरक्षित करें (wp_create_nonce + wp_verify_nonce) और सुनिश्चित करें कि क्रिया केवल तभी चले जब नॉन्स मान्य हो।.
  • उपयोगकर्ता क्षमताओं की जांच करें (current_user_can) संवेदनशील क्रियाओं जैसे प्लगइन निष्क्रियकरण, दूरस्थ इंस्टॉलेशन या कॉन्फ़िगरेशन परिवर्तनों को करने से पहले।.
  • बिना प्रमाणीकरण या सार्वजनिक एंडपॉइंट्स के माध्यम से विशेष कार्यप्रवाहों को उजागर करने से बचें।.
  • इनपुट को साफ करें और मान्य करें; अस्पष्टता के माध्यम से सुरक्षा पर निर्भर न रहें।.
  • स्पष्ट अपग्रेड पथ प्रदान करें और सभी कोड पथों में लगातार जांच बनाए रखें - असंगत सुरक्षा अक्सर कमजोरियों की ओर ले जाती है।.

अक्सर पूछे जाने वाले प्रश्न (संक्षिप्त)

प्रश्न: क्या मेरी साइट निश्चित रूप से जोखिम में है?
उत्तर: यदि आप Easy Digital Downloads ≤ 3.5.0 चला रहे हैं और आपके पास ऐसे व्यवस्थापक उपयोगकर्ता हैं जो प्रशासन में लॉग इन करते समय अविश्वसनीय पृष्ठों को ब्राउज़ कर सकते हैं, तो आप जोखिम में हैं। कई व्यवस्थापकों या कमजोर सत्र प्रबंधन वाली साइटों के लिए जोखिम बढ़ता है।.
प्रश्न: यदि मैं परिधीय नियम या अस्थायी नियंत्रण लागू करता हूं, तो क्या मुझे अभी भी अपडेट करने की आवश्यकता है?
उत्तर: हाँ। वर्चुअल पैचिंग या WAF नियम जोखिम को कम करते हैं लेकिन आधिकारिक अपडेट के लिए विकल्प नहीं होते। हमेशा प्लगइन्स को निश्चित संस्करण में अपडेट करें।.
प्रश्न: क्या मैं व्यवस्थापक उपयोगकर्ताओं को हटाकर इसे रोक सकता हूं?
उत्तर: व्यवस्थापक खातों को कम करना जोखिम को कम करता है, लेकिन यह एक पूर्ण रक्षा नहीं है। ऊपर वर्णित अन्य शमन के साथ खाता स्वच्छता को मिलाएं।.

अंतिम सिफारिशें - प्राथमिकता के अनुसार

  1. Easy Digital Downloads को तुरंत 3.5.1 या बाद के संस्करण में अपडेट करें।. शीर्ष प्राथमिकता।.
  2. यदि तत्काल अपडेट संभव नहीं है, तो कमजोर क्रिया नामों को अवरुद्ध करने और किनारे पर नॉन्स/उत्पत्ति जांच लागू करने के लिए परिधीय नियम (WAF/रिवर्स प्रॉक्सी/वेब सर्वर) लागू करें।.
  3. 2FA लागू करें और व्यवस्थापक की संख्या कम करें; खाता क्षमताओं का ऑडिट करें।.
  4. लॉग की निगरानी करें और प्लगइन निष्क्रियकरण और संदिग्ध व्यवस्थापक एंडपॉइंट ट्रैफ़िक के लिए अलर्ट सेट करें।.
  5. परीक्षण किए गए बैकअप और एक घटना प्रतिक्रिया योजना बनाए रखें ताकि आवश्यकता पड़ने पर आप जल्दी से पुनर्स्थापित कर सकें।.
हांगकांग ऑपरेटरों के लिए व्यावहारिक नोट: घनी परिचालन वातावरण में जहां तेजी से पैच विंडो सीमित हैं, लक्षित परिधीय नियम लागू करें और पैच करते समय आईपी द्वारा प्रशासनिक पहुंच को प्रतिबंधित करें। लाइव ई-कॉमर्स लेनदेन को पीक घंटों के दौरान बाधित करने से बचने के लिए पहले स्टेजिंग में सभी उपायों का परीक्षण करें।.

यदि आपको उपाय लागू करने, यह सत्यापित करने में कि आपकी साइट को लक्षित किया गया है, या परिधीय नियम लागू करने में और सहायता की आवश्यकता है, तो एक विश्वसनीय सुरक्षा विशेषज्ञ से संपर्क करें और नियंत्रित तरीके से सुधार करें। सतर्क रहें - जल्दी पैच करें, हमेशा सुरक्षा करें।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा सलाह FunnelKit अधिकार वृद्धि (CVE20257654)

अगला लेख —

सामुदायिक सलाह संपर्क फ़ॉर्म 7 इंजेक्शन जोखिम (CVE20258145)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक सुरक्षा चेतावनी Wishlist प्लगइन हटाने की खामी(CVE202512087)

  • नवम्बर 12, 2025
वर्डप्रेस Wishlist और Woocommerce प्लगइन के लिए बाद में सहेजें <= 1.1.22 - प्रमाणित (सदस्य+) Wishlist आइटम हटाने की कमजोरियों के लिए असुरक्षित प्रत्यक्ष वस्तु संदर्भ
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा NGO सोलेडाड LFI (CVE20258142) को चेतावनी देता है

  • अगस्त 16, 2025
वर्डप्रेस सोलेडैड प्लगइन <= 8.6.7 - प्रमाणित (योगदानकर्ता+) स्थानीय फ़ाइल समावेश 'header_layout' भेद्यता के माध्यम से
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह वर्डप्रेस स्लाइडर SSRF(CVE20258680)

  • अगस्त 14, 2025
वर्डप्रेस B स्लाइडर - WP प्लगइन के लिए गुटेनबर्ग स्लाइडर ब्लॉक <= 2.0.0 - प्रमाणित (सदस्य+) सर्वर-साइड अनुरोध धोखाधड़ी भेद्यता