Wवर्डप्रेस भेद्यता डेटाबेस

समुदाय सुरक्षा चेतावनी सामाजिक आइकन कमजोरियां (CVE20264063)

WPZOOM प्लगइन द्वारा WordPress सोशल आइकन विजेट और ब्लॉक में टूटी हुई एक्सेस नियंत्रण
0
शेयर
0
0
0
0
प्लगइन का नाम सोशल आइकन विजेट और ब्लॉक द्वारा WPZOOM
कमजोरियों का प्रकार एक्सेस नियंत्रण कमजोरियों
CVE संख्या CVE-2026-4063
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-03-13
स्रोत URL CVE-2026-4063

CVE-2026-4063: सोशल आइकन विजेट और ब्लॉक (WPZOOM) में टूटी हुई एक्सेस नियंत्रण — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ   |   तारीख: 2026-03-13

टैग: वर्डप्रेस, कमजोरियां, प्लगइन सुरक्षा, घटना प्रतिक्रिया

सारांश: सोशल आइकन विजेट और ब्लॉक प्लगइन (WPZOOM) के संस्करण <= 4.5.8 में एक टूटी हुई एक्सेस नियंत्रण दोष (CVE-2026-4063) प्रमाणित उपयोगकर्ताओं को सब्सक्राइबर भूमिका (और ऊपर) के साथ बिना उचित प्राधिकरण जांच के साझा कॉन्फ़िगरेशन बनाने की अनुमति देता है। इस मुद्दे को संस्करण 4.5.9 में पैच किया गया था। यह सलाह जोखिम, वास्तविक दुनिया का प्रभाव, पहचान, तात्कालिक शमन और दीर्घकालिक मजबूत बनाने की व्याख्या करती है।.

TL;DR — क्या हुआ

  • प्रभावित प्लगइन: सोशल आइकन विजेट और ब्लॉक द्वारा WPZOOM
  • कमजोर संस्करण: <= 4.5.8
  • पैच किया गया संस्करण: 4.5.9
  • CVE: CVE-2026-4063
  • वर्ग: टूटी हुई एक्सेस नियंत्रण (OWASP A1)
  • प्रभाव: कम गंभीरता (CVE को कम के रूप में प्रकाशित किया गया), लेकिन प्रमाणित सब्सक्राइबर+ खातों द्वारा साझा कॉन्फ़िगरेशन बनाने के लिए शोषण योग्य है जो केवल प्रशासक के लिए होना चाहिए।.
  • तात्कालिक कार्रवाई: प्लगइन को 4.5.9 या बाद के संस्करण में अपडेट करें। यदि तात्कालिक अपडेट संभव नहीं है, तो नीचे वर्णित शमन लागू करें (प्लगइन को निष्क्रिय करें या एक्सेस प्रतिबंध लागू करें)।.

इसे विशेषाधिकार-बायपास एक्सपोजर के रूप में मानें: यदि आप उपयोगकर्ता पंजीकरण स्वीकार करते हैं, कई लेखकों की मेज़बानी करते हैं, या सब्सक्राइबर-स्तरीय खातों को बनाए रखते हैं तो जल्दी कार्य करें।.

टूटी हुई एक्सेस नियंत्रण क्यों महत्वपूर्ण है — यहां तक कि “कम गंभीरता” पर भी”

“कम गंभीरता” का मतलब “इसे अनदेखा करें” नहीं है। टूटी हुई एक्सेस नियंत्रण एक सामान्य मार्ग है जिसे हमलावर द्वितीयक लक्ष्यों को प्राप्त करने के लिए अपनाते हैं:

  • कॉन्फ़िगरेशन परिवर्तनों को बनाए रखना जो बाद में फ़िशिंग या रीडायरेक्ट को सुविधाजनक बनाते हैं।.
  • सामग्री को इंजेक्ट या बदलें जो निर्दोष प्रतीत होती है (जैसे, सामाजिक लिंक) लेकिन दुर्भावनापूर्ण लक्ष्यों की ओर इशारा करती है।.
  • ऐसी स्थितियां बनाएं जो बाद में विशेषाधिकार वृद्धि या सामग्री इंजेक्शन को आसान बनाती हैं।.
  • डेटा को बनाए रखने या जानकारी को निकालने के लिए वैध प्लगइन कार्यक्षमता का उपयोग करें।.

क्योंकि यह कमजोरियां एक प्रमाणित निम्न-विशेषाधिकार उपयोगकर्ता को प्रशासनिक प्रकार की कार्रवाई (साझा कॉन्फ़िगरेशन बनाना) करने की अनुमति देती है, एक हमलावर जो सब्सक्राइबर या योगदानकर्ता खाते तक पहुंच प्राप्त करता है — या किसी को ऐसा खाता बनाने के लिए धोखा देता है — दुर्भावनापूर्ण कॉन्फ़िगरेशन को बनाए रख सकता है।.

कमजोरियों का काम करने का तरीका (उच्च स्तर)

उच्च स्तर पर, प्लगइन एक क्रिया को उजागर करता है (संभवतः AJAX या REST एंडपॉइंट के माध्यम से जो प्लगइन UI द्वारा उपयोग किया जाता है) जो “शेयरिंग कॉन्फ़िगरेशन” के निर्माण को संसाधित करता है। एंडपॉइंट:

  • प्रमाणित उपयोगकर्ताओं से अनुरोध स्वीकार करता है,
  • एक सख्त भूमिका/क्षमता जांच को लागू नहीं करता (या सब्सक्राइबर+ को अनुमति देता है),
  • मजबूत नॉनस सत्यापन या अन्य प्राधिकरण सुरक्षा की कमी हो सकती है।.

परिणामस्वरूप, एक सब्सक्राइबर एक अनुरोध प्रस्तुत कर सकता है जो एक प्लगइन कॉन्फ़िगरेशन प्रविष्टि बनाता है जिसे केवल प्रशासकों द्वारा प्रबंधित किया जाना चाहिए। बनाई गई कॉन्फ़िगरेशन में बाहरी URLs, HTML स्निपेट, या अन्य मान शामिल हो सकते हैं जिन्हें प्लगइन बाद में फ्रंट-एंड या प्रशासनिक क्षेत्रों के अंदर प्रस्तुत करता है।.

सटीक शोषण विवरणों को दुरुपयोग को सुविधाजनक बनाने से बचने के लिए छोड़ दिया गया है। नीचे दी गई मार्गदर्शिका रक्षकों को कार्रवाई करने के लिए पर्याप्त है।.

वास्तविक दुनिया के शोषण परिदृश्य

  1. दुर्भावनापूर्ण रीडायरेक्ट को बनाए रखना
    एक हमलावर एक दुर्भावनापूर्ण डोमेन की ओर इशारा करते हुए एक शेयरिंग कॉन्फ़िगरेशन बनाता है। जब थीम सामाजिक लिंक को प्रस्तुत करती है, तो उपयोगकर्ताओं को क्रेडेंशियल संग्रहण, विज्ञापनों या मैलवेयर के लिए हमलावर-नियंत्रित पृष्ठों पर रीडायरेक्ट किया जाता है।.
  2. विश्वसनीय UI घटकों का उपयोग करके फ़िशिंग
    एक दुर्भावनापूर्ण शेयर प्रविष्टि एक सामाजिक विजेट को प्रस्तुत कर सकती है जो वैध दिखती है लेकिन लॉगिन या भुगतान प्रवाह की नकल करने वाले पृष्ठ की ओर इशारा करती है।.
  3. बैकडोर डेटा भंडारण और निकासी
    हमलावर एक कॉन्फ़िगरेशन फ़ील्ड में एन्कोडेड डेटा को संग्रहीत करता है ताकि बाद में एक बाहरी घटक द्वारा पुनर्प्राप्त किया जा सके।.
  4. कमजोरियों की श्रृंखला
    इस टूटे हुए एक्सेस नियंत्रण को कमजोर थीम सफाई या अन्य प्लगइन मुद्दों के साथ मिलाकर प्रभाव को बढ़ाएं।.

सीधे साइट पर कब्जा करना आमतौर पर तत्काल परिणाम नहीं है, लेकिन यह कमजोरी अधिक गंभीर समझौतों के लिए एक सक्षम करने वाला है।.

कौन जोखिम में है

  • साइटें जो आत्म-पंजीकरण की अनुमति देती हैं या उपयोगकर्ता साइनअप को सब्सक्राइबर (या समकक्ष) भूमिका सौंपती हैं।.
  • कम विशेषाधिकार वाले खातों के साथ बहु-लेखक ब्लॉग।.
  • सदस्यता साइटें जहां उपयोगकर्ताओं के पास सब्सक्राइबर-स्तरीय भूमिकाएँ होती हैं।.
  • कोई भी साइट जो सोशल आइकन विजेट और ब्लॉक प्लगइन संस्करण <= 4.5.8 का उपयोग करती है।.

यदि आपकी साइट प्लगइन का उपयोग नहीं करती है, तो आप प्रभावित नहीं हैं। यदि प्लगइन स्थापित है लेकिन निष्क्रिय है, तो जोखिम कम हो जाता है लेकिन हमेशा समाप्त नहीं होता — जहां संभव हो, अप्रयुक्त प्लगइनों को हटा दें।.

आपको तुरंत उठाने चाहिए कदम (पहले 48 घंटे)

  1. प्लगइन को 4.5.9 या बाद के संस्करण में अपडेट करें।.
    वर्डप्रेस प्रशासन से या WP-CLI के माध्यम से अपडेट करें:

    wp प्लगइन अपडेट social-icons-widget-by-wpzoom --संस्करण=4.5.9
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्लगइन को निष्क्रिय या हटा दें।.
    प्रशासन से निष्क्रिय करें या:

    wp प्लगइन निष्क्रिय करें social-icons-widget-by-wpzoom
  3. मौजूदा साझा कॉन्फ़िगरेशन और सेटिंग्स का ऑडिट करें।.
    अप्रत्याशित प्रविष्टियों, अपरिचित बाहरी URLs, या कॉन्फ़िगरेशन की तलाश करें जो आपने नहीं बनाई। संदिग्ध प्रविष्टियों को हटा दें और उन्हें दस्तावेज़ करें।.
  4. उपयोगकर्ता खातों और भूमिकाओं की समीक्षा करें।.
    पुष्टि करें कि कोई अनधिकृत सदस्य या संदिग्ध नए खाते नहीं हैं। नए पंजीकरण को अस्थायी रूप से निष्क्रिय करने पर विचार करें।.
  5. यदि दुरुपयोग का पता चलता है तो प्रशासनिक पासवर्ड और रहस्यों को बदलें।.
  6. लॉग की जांच करें।.
    प्लगइन एंडपॉइंट्स के लिए असामान्य अनुरोधों के लिए वेब सर्वर एक्सेस लॉग, admin-ajax कॉल, और REST लॉग की समीक्षा करें, विशेष रूप से सदस्य खातों से POSTs।.
  7. निगरानी बढ़ाएं और संयम से सीमित करें।.
    यदि सक्रिय शोषण का संदेह है तो जांच करते समय रखरखाव मोड पर विचार करें।.

तकनीकी उपाय (अस्थायी/आभासी पैचिंग)

यदि आप तुरंत पैच नहीं कर सकते हैं, तो अनुप्रयोग और परिधीय परतों पर सुरक्षा लागू करें। नीचे व्यावहारिक, रक्षात्मक विकल्प हैं।.

अनुप्रयोग-परत उपाय (mu-plugin उदाहरण)

अस्थायी रूप से एक mu-plugin जोड़कर सख्त क्षमता जांच लागू करें। पहले स्टेजिंग पर परीक्षण करें।.

<?php;

केवल तभी mu-plugins का उपयोग करें जब PHP संपादित करने में सहज हों। वास्तविक क्रिया नाम भिन्न हो सकते हैं; यदि सुनिश्चित नहीं हैं, तो परिधीय शमन को प्राथमिकता दें।.

परिधीय शमन (वेब एप्लिकेशन फ़ायरवॉल / एज नियम)

  • गैर-प्रशासक सत्रों या अज्ञात IPs से प्लगइन REST या AJAX एंडपॉइंट्स पर अनुरोधों को ब्लॉक या दर-सीमा करें।.
  • कॉन्फ़िगरेशन POSTs के लिए एक मान्य WordPress nonce पैरामीटर की आवश्यकता है; अपेक्षित nonce गायब होने पर अनुरोधों को चुनौती दें या ब्लॉक करें।.
  • निम्न-privilege उपयोगकर्ताओं से उत्पन्न संदिग्ध क्रिया पैरामीटर मानों के साथ /wp-admin/admin-ajax.php पर POSTs की निगरानी और ब्लॉक करें।.

वैचारिक नियम (उदाहरण): यदि /wp-admin/admin-ajax.php पर POST करें और क्रिया प्लगइन-विशिष्ट क्रिया से मेल खाती है और सत्र गैर-प्रशासक भूमिका को इंगित करता है, तो अनुरोध को ब्लॉक करें।.

पहचान: लॉग में क्या देखना है

इन संकेतकों की खोज करें:

  • संदिग्ध कॉन्फ़िगरेशन जोड़े जाने के समय के करीब प्लगइन-संबंधित क्रिया पैरामीटर के साथ /wp-admin/admin-ajax.php या प्लगइन के REST एंडपॉइंट्स पर POSTs।.
  • विकल्प तालिकाओं में साझा करने की कॉन्फ़िगरेशन के अप्रत्याशित निर्माण समय।.
  • अनुरोध जो प्रमाणित उपयोगकर्ताओं के साथ सहसंबंधित होते हैं जिनकी सदस्यता भूमिकाएँ होती हैं (लॉगिन घटनाओं के साथ कुकीज़/IPs का सहसंबंध)।.
  • सामाजिक आइकन फ़ील्ड में नए बाहरी URLs जो उन डोमेन की ओर इशारा करते हैं जिन्हें आप नियंत्रित नहीं करते।.

ठोस जांच

  • डेटाबेस: निरीक्षण करें 11. संदिग्ध सामग्री के साथ। और किसी भी प्लगइन-विशिष्ट तालिकाओं में नए पंक्तियों की जांच करें जिनमें अपरिचित होस्ट के साथ अनुक्रमित ऐरे या JSON हो।.
  • एक्सेस लॉग: POSTs और प्लगइन एंडपॉइंट्स द्वारा फ़िल्टर करें; कॉन्फ़िगरेशन एंडपॉइंट्स को कॉल करने के लिए दोहराए गए प्रयासों की खोज करें।.
  • WordPress लॉग: विकल्प अपडेट घटनाओं या प्लगइन हुक कॉल्स की तलाश करें जो अप्रत्याशित परिवर्तनों के साथ मेल खाते हैं।.

अपडेट के बाद सुधार चेकलिस्ट

  1. प्लगइन को 4.5.9+ पर अपडेट करें (यदि पहले से नहीं किया गया है)।.
  2. प्लगइन की अखंडता को मान्य करें: स्थापित फ़ाइलों की तुलना एक स्वच्छ रिपॉजिटरी कॉपी से करें।.
  3. संदिग्ध साझा करने की कॉन्फ़िगरेशन को हटा दें; आपने क्या हटाया और कब, इसका रिकॉर्ड रखें।.
  4. संदिग्ध पहुंच के लिए हाल के प्रशासक और उपयोगकर्ता लॉगिन घटनाओं की जांच करें।.
  5. साइट को मैलवेयर और इंजेक्टेड सामग्री के लिए स्कैन करें (हाथ से और स्वचालित स्कैन दोनों)।.
  6. यदि स्थायी बैकडोर मौजूद हैं, तो समझौते से पहले लिए गए ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें, फिर अपडेट को फिर से लागू करें।.
  7. पूर्ण साइट स्कैन फिर से चलाएं और सत्यापित करें कि कोई अज्ञात अनुसूचित कार्य (wp-cron) या अप्रत्याशित व्यवस्थापक उपयोगकर्ता नहीं हैं।.
  8. दीर्घकालिक हार्डनिंग उपाय लागू करें (नीचे)।.

भविष्य के जोखिम को कम करने के लिए दीर्घकालिक हार्डनिंग

  1. उपयोगकर्ताओं के लिए न्यूनतम विशेषाधिकार
    अनावश्यक क्षमताएँ देने से बचें। यदि आप उपयोगकर्ता सामग्री स्वीकार करते हैं तो कड़े अनुमतियों के साथ कस्टम भूमिकाओं पर विचार करें।.
  2. पंजीकरण को सीमित और सत्यापित करें
    जब संभव हो, तो खुले पंजीकरण के बजाय ईमेल सत्यापन, व्यवस्थापक अनुमोदन, या निमंत्रण प्रवाह का उपयोग करें।.
  3. मजबूत व्यवस्थापक प्रमाणीकरण लागू करें
    प्रशासनिक खातों के लिए मजबूत पासवर्ड और बहु-कारक प्रमाणीकरण का उपयोग करें।.
  4. प्लगइन्स और थीम को अद्यतित रखें
    नियमित रूप से अपडेट करें और उत्पादन से पहले स्टेजिंग पर परीक्षण करें।.
  5. परिधीय सुरक्षा का उपयोग करें
    एज नियम या WAF शोषण पैटर्न को अवरुद्ध करने के लिए आभासी पैचिंग प्रदान कर सकते हैं जब तक कि आप अपडेट नहीं कर सकते।.
  6. निगरानी और अलर्ट
    विकल्पों में परिवर्तनों, नए प्लगइन कॉन्फ़िगरेशन के निर्माण, और असामान्य व्यवस्थापक-ajax/REST अनुरोधों के लिए अलर्ट कॉन्फ़िगर करें।.
  7. बैकअप रणनीति
    स्वचालित, संस्करणित बैकअप को ऑफ-साइट संग्रहीत करें और पुनर्स्थापना प्रक्रियाओं को मान्य करें।.
  8. सुरक्षित विकास प्रथाएँ
    प्लगइन्स/थीम बनाते समय, क्षमता जांच लागू करें (current_user_can()), नॉनसेस (wp_verify_nonce()), और उचित सफाई/एस्केपिंग।.

व्यवस्थापकों के लिए त्वरित पहचान स्क्रिप्ट

अपने DB का बैकअप लेने के बाद एक डेटाबेस क्वेरी चलाएँ। उदाहरणात्मक जांच:

-- संदिग्ध डोमेन पैटर्न या प्लगइन स्लग वाले मानों की खोज करें;

किसी भी पंक्ति की समीक्षा करें जिसमें अप्रत्याशित होस्ट या प्रविष्टियाँ हैं जिन्हें आपने नहीं बनाया।.

घटना प्रतिक्रिया: यदि आपको विश्वास है कि आपको शोषित किया गया था

  1. अलग करें: साइट को ऑफ़लाइन करें या जांच करते समय प्रशासकों तक पहुँच को सीमित करें।.
  2. सबूत को संरक्षित करें: लॉग, डेटाबेस पंक्तियाँ, और संदिग्ध फ़ाइलों की प्रतियाँ निर्यात करें; हैश और टाइमस्टैम्प रखें।.
  3. सुधारें: दुर्भावनापूर्ण कॉन्फ़िगरेशन या सामग्री को हटा दें, कमजोर प्लगइन को अपडेट करें, और फिर से स्कैन करें।.
  4. क्रेडेंशियल्स को घुमाएं: प्रशासक और डेवलपर पासवर्ड, API कुंजी, और किसी भी टोकन को रीसेट करें।.
  5. यदि आवश्यक हो तो पुनर्स्थापित करें: यदि आप सुनिश्चित नहीं हो सकते कि सभी स्थायीता हटा दी गई है, तो ज्ञात-भले बैकअप से पुनर्स्थापित करें और प्लगइन को अपडेट करें।.
  6. रिपोर्ट करें और दस्तावेज़ करें: घटना और लिए गए कार्यों का एक रिकॉर्ड रखें ताकि घटना के बाद की समीक्षा के लिए।.

यदि आगे बढ़ने के लिए सुनिश्चित नहीं हैं, तो घटना प्रतिक्रिया और फोरेंसिक विश्लेषण के लिए एक वर्डप्रेस सुरक्षा विशेषज्ञ से परामर्श करें।.

डेवलपर्स के लिए व्यावहारिक सिफारिशें

  • कॉन्फ़िगरेशन को संशोधित करने से पहले हमेशा क्षमताओं की जांच करें: उपयोग करें current_user_can( 'manage_options' ) या एक उपयुक्त क्षमता।.
  • नॉनसेस का उपयोग करें और उन्हें सत्यापित करें wp_verify_nonce() AJAX और REST प्रवाह के लिए।.
  • सभी इनपुट को साफ़ और मान्य करें। प्राधिकरण के लिए क्लाइंट-साइड नियंत्रण पर भरोसा न करें।.
  • एंडपॉइंट्स को केवल आवश्यक तक सीमित करें। अनधिकृत या निम्न-privileged भूमिकाओं के लिए create/update एंडपॉइंट्स को उजागर न करें।.
  • कॉन्फ़िगरेशन परिवर्तनों के लिए लॉगिंग जोड़ें ताकि प्रशासनिक स्तर की घटनाएँ ट्रेस करने योग्य और अलर्ट करने योग्य हों।.

सामान्य प्रश्न

प्रश्न: मेरे पास बहुत कम उपयोगकर्ता हैं और केवल एक प्रशासक है - क्या मैं सुरक्षित हूँ?
उत्तर: हमले की सतह कम है, लेकिन यदि प्रशासक खाता समझौता कर लिया गया है (फिशिंग, क्रेडेंशियल पुन: उपयोग) तो एक हमलावर सीधे कॉन्फ़िगरेशन बना सकता है। प्रशासक खातों को MFA और अपडेटेड क्रेडेंशियल्स के साथ सुरक्षित रखें।.
प्रश्न: क्या हमलावर बिना किसी खाते के इसका शोषण कर सकते हैं?
A: नहीं। यह सुरक्षा कमजोरी एक प्रमाणित खाते (सदस्य या उच्च) की आवश्यकता है। हालाँकि, कई साइटें पंजीकरण की अनुमति देती हैं, इसलिए पंजीकरण को सीमित और मॉनिटर करें।.
Q: अगर मेरी साइट प्रबंधित होस्टिंग पर है तो क्या होगा?
A: प्रबंधित होस्ट अपडेट और मॉनिटरिंग में सहायता कर सकते हैं। सुनिश्चित करें कि अपडेट तुरंत लागू किए जाएं और जहां संभव हो, परिधीय सुरक्षा लागू करें।.

अंतिम शब्द

टूटी हुई पहुंच नियंत्रण एक सामान्य और टाला जा सकने वाली सुरक्षा कमजोरी है। साइट के मालिकों के लिए: तुरंत अपडेट करें, उपयोगकर्ता विशेषाधिकारों को सीमित करें, परिवर्तनों की निगरानी करें, और स्तरित सुरक्षा का उपयोग करें। तुरंत Social Icons Widget & Block by WPZOOM का कोई भी इंस्टॉलेशन 4.5.9 या बाद के संस्करण में अपडेट करने को प्राथमिकता दें।.

सहायता के लिए, एक योग्य सुरक्षा पेशेवर को शामिल करें ताकि वे शमन लागू कर सकें, घटना प्रतिक्रिया कर सकें, या फोरेंसिक विश्लेषण कर सकें।.

— हांगकांग सुरक्षा विशेषज्ञ

संदर्भ और आगे की पढ़ाई

  • CVE-2026-4063 (आधिकारिक रिकॉर्ड)
  • WPZOOM प्लगइन चेंज लॉग और सलाह पृष्ठ
  • वर्डप्रेस डेवलपर डॉक: क्षमता जांच, नॉनसेस, और सुरक्षा सर्वोत्तम प्रथाएँ
0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

समुदाय चेतावनी क्रॉस साइट स्क्रिप्टिंग पढ़ने की प्रगति पट्टी (CVE20262687)

अगला लेख —

हांगकांग सुरक्षा चेतावनी गणना किए गए फ़ील्ड XSS(CVE20263986)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

HK सुरक्षा चेतावनी वर्डप्रेस AI पैक बायपास (CVE20257664)

  • अगस्त 16, 2025
वर्डप्रेस AI पैक प्लगइन <= 1.0.2 - चेक_activate_permission फ़ंक्शन के माध्यम से प्रमाणीकरण रहित प्रीमियम फ़ीचर सक्रियण के लिए अनुमति की कमी भेद्यता
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाहकार मनमाना छवि स्थानांतरण (CVE202512494)

  • नवम्बर 14, 2025
WordPress इमेज गैलरी – फोटो ग्रिड और वीडियो गैलरी प्लगइन <= 2.12.28 - प्रमाणित (लेखक+) मनमाने छवि फ़ाइल स्थानांतरण में अनुचित प्राधिकरण
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग अलर्ट CSRF से स्टोर किए गए XSS (CVE20259946)

  • सितम्बर 30, 2025
वर्डप्रेस LockerPress – वर्डप्रेस सुरक्षा प्लगइन <= 1.0 - क्रॉस-साइट अनुरोध धोखाधड़ी से स्टोर किए गए क्रॉस-साइट स्क्रिप्टिंग भेद्यता