Wवर्डप्रेस भेद्यता डेटाबेस

एचके सुरक्षा अलर्ट WPBakery क्रॉस साइट स्क्रिप्टिंग(CVE202511161)

वर्डप्रेस WPBakery पेज बिल्डर प्लगइन
0
शेयर
0
0
0
0
प्लगइन का नाम WPBakery पेज बिल्डर
कमजोरियों का प्रकार स्टोर किया गया XSS
CVE संख्या CVE-2025-11161
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-10-15
स्रोत URL CVE-2025-11161

WPBakery पृष्ठ निर्माता (≤ 8.6.1) — vc_custom_heading शॉर्टकोड के माध्यम से संग्रहीत XSS (CVE-2025-11161)

लेखक: हांगकांग सुरक्षा विशेषज्ञ — 2025-10-15

सारांश — WPBakery पृष्ठ निर्माता के 8.6.1 तक और शामिल संस्करणों को प्रभावित करने वाली संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE-2025-11161) प्रकाशित की गई है। यह एक योगदानकर्ता स्तर के उपयोगकर्ता को vc_custom_heading शॉर्टकोड के माध्यम से स्थायी स्क्रिप्ट/HTML इंजेक्ट करने की अनुमति देता है। इस मुद्दे को WPBakery संस्करण 8.7 में ठीक किया गया था। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अच्छी तरह से डिज़ाइन की गई प्रतिक्रिया और सामग्री हार्डनिंग या वर्चुअल-पैचिंग उपायों से शोषण जोखिम को कम किया जा सकता है।.

परिचय

यदि आप WPBakery पृष्ठ निर्माता का उपयोग करने वाली वर्डप्रेस साइटें संचालित करते हैं, तो यह सलाह प्रासंगिक है। यह रिपोर्ट हांगकांग स्थित सुरक्षा प्रैक्टिशनर के दृष्टिकोण से लिखी गई है ताकि जोखिम, संभावित प्रभाव, पहचान के तरीके, और आपकी साइटों की सुरक्षा के लिए व्यावहारिक कदमों को समझाया जा सके। नीचे दी गई मार्गदर्शिका व्यावहारिक है और उन कार्यों पर केंद्रित है जो साइट के मालिक, प्रशासक और तकनीकी ऑपरेटर जल्दी कर सकते हैं।.

एक वाक्य में भेद्यता

  • भेद्यता: संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) के माध्यम से vc_custom_heading 13. प्रभावित संस्करण: WS थीम ऐडऑन प्लगइन ≤ 2.0.0।.
  • उत्पाद: WPBakery पृष्ठ निर्माता (प्लगइन)।.
  • प्रभावित संस्करण: ≤ 8.6.1
  • में ठीक किया गया: 8.7
  • CVE: CVE-2025-11161
  • रिपोर्ट किया गया CVSS: 6.5 (मध्यम)
  • आवश्यक विशेषाधिकार: योगदानकर्ता (सामग्री बनाने या संपादित करने में सक्षम)

संग्रहीत XSS क्या है और यह क्यों महत्वपूर्ण है

क्रॉस-साइट स्क्रिप्टिंग (XSS) एक हमलावर को जावास्क्रिप्ट या सक्रिय सामग्री इंजेक्ट करने की अनुमति देती है जो साइट के आगंतुकों या प्रशासकों के ब्राउज़र में चलती है। संग्रहीत (स्थायी) XSS का अर्थ है कि दुर्भावनापूर्ण इनपुट सर्वर पर सहेजा गया है — उदाहरण के लिए पोस्ट सामग्री, शॉर्टकोड, या मेटाडेटा के अंदर — और जब भी एक पृष्ठ जिसमें पेलोड है देखा जाता है, तब निष्पादित होता है।.

संग्रहीत XSS के परिणामों में शामिल हो सकते हैं:

  • सत्र चोरी (यदि कुकीज़ या टोकन स्क्रिप्ट के लिए सुलभ हैं)
  • एक प्रमाणित उपयोगकर्ता के संदर्भ में स्वचालित क्रियाओं के माध्यम से विशेषाधिकार वृद्धि
  • सामग्री का विकृति, दुर्भावनापूर्ण रीडायरेक्ट, या फ़िशिंग/मैलवेयर सामग्री का वितरण
  • विज्ञापन इंजेक्शन, SEO विषाक्तता, या व्यापक साइट समझौते के लिए दुरुपयोग

इस WPBakery समस्या की विशिष्टताएँ

सार्वजनिक सलाहें संकेत करती हैं कि WPBakery Page Builder का प्रबंधन vc_custom_heading शॉर्टकोड ने अविश्वसनीय HTML या विशेषताओं को संग्रहीत करने और बाद में उचित स्वच्छता के बिना प्रस्तुत करने की अनुमति दी। एक योगदानकर्ता-स्तरीय उपयोगकर्ता शॉर्टकोड सामग्री तैयार कर सकता था जिसमें दुर्भावनापूर्ण मार्कअप या इवेंट विशेषताएँ शामिल थीं जिन्हें प्लगइन ने आउटपुट से पहले ठीक से स्वच्छ या एन्कोड नहीं किया।.

  • शोषणीयता: प्रभावित साइटों पर योगदानकर्ता-स्तरीय पहुंच पर्याप्त है।.
  • स्थिरता: पेलोड सामग्री के भीतर संग्रहीत होते हैं और तब तक रहते हैं जब तक उन्हें हटा या स्वच्छ नहीं किया जाता।.
  • सुधार: WPBakery 8.7 में अपस्ट्रीम पैच स्वच्छता/प्रस्तुति व्यवहार को सही करता है।.

विचार करने के लिए शोषण परिदृश्य

  1. दुर्भावनापूर्ण योगदानकर्ता या समझौता किया गया योगदानकर्ता खाता: एक हमलावर एक पोस्ट प्रस्तुत करता है जिसमें vc_custom_heading दुर्भावनापूर्ण मार्कअप शामिल है। पोस्ट को देखने वाले आगंतुक और स्टाफ इंजेक्टेड स्क्रिप्ट को निष्पादित करते हैं।.
  2. सामाजिक इंजीनियरिंग के माध्यम से समझौता किया गया संपादक/व्यवस्थापक: एक संपादक को सामग्री का पूर्वावलोकन करने के लिए मनाना एक पेलोड को सक्रिय कर सकता है।.
  3. स्वचालित स्कैनिंग और सामूहिक इंजेक्शन: अवसरवादी अभिनेता WPBakery इंस्टॉलेशन के लिए स्कैन करते हैं और पेलोड को इंजेक्ट करते हैं ताकि वे मुद्रीकरण या पहुंच का विस्तार कर सकें।.
  4. थीम या टेम्पलेट प्रस्तुति: टेम्पलेट या विजेट जो साइट-व्यापी शॉर्टकोड प्रस्तुत करते हैं, कई पृष्ठों को पेलोड के लिए उजागर कर सकते हैं।.

जोखिम कारक जो संभावना को बढ़ाते हैं

  • बिना सख्त समीक्षा के बाहरी योगदानकर्ता प्रकाशन की अनुमति देना।.
  • प्लगइन संस्करण ≤ 8.6.1 चला रहे हैं।.
  • आने वाली सामग्री या आउटगोइंग HTML की जांच करने वाले प्रतिक्रिया नियंत्रणों की अनुपस्थिति।.
  • कमजोर प्रशासनिक क्रेडेंशियल और बहु-कारक प्रमाणीकरण की कमी।.

आपकी साइट की सुरक्षा के लिए तत्काल कदम (संक्षिप्त चेकलिस्ट)

  1. WPBakery Page Builder को 8.7 (या नवीनतम) में जल्द से जल्द अपग्रेड करें।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते:
    • अवरोध या स्वच्छता के लिए सामग्री निरीक्षण उपाय लागू करें vc_custom_heading सबमिशन और विशेषताओं में स्क्रिप्ट-जैसी सामग्री का फ्रंट-एंड रेंडरिंग।.
    • योगदानकर्ता क्षमताओं को सीमित करें - संपादक की समीक्षा की आवश्यकता करें या योगदानकर्ता प्रकाशन को अक्षम करें।.
    • अप्रत्याशित मार्कअप जैसे हाल के पोस्ट, संशोधन और कस्टम शीर्षकों की समीक्षा करें <script>, पर* विशेषताएँ, जावास्क्रिप्ट:, रैपर और फ़िल्टर को अस्वीकार करें: URI, या संदिग्ध base64 पेलोड।.
  3. हाल की सामग्री को लिखने वाले खातों के लिए क्रेडेंशियल्स को घुमाएँ।.
  4. प्रशासन/संपादक खातों के लिए दो-कारक प्रमाणीकरण और मजबूत पासवर्ड नीतियों को लागू करें।.
  5. संदिग्ध POSTs के लिए लॉग की निगरानी करें जैसे कि पोस्ट-न्यू.php, पोस्ट.php, admin-ajax.php, और REST एंडपॉइंट्स जो सामग्री स्वीकार करते हैं।.

8.7 में अपडेट करना क्यों मानक समाधान है

8.7 में विक्रेता पैच यह बदलता है कि vc_custom_heading को कैसे स्वच्छता और रेंडर किया जाता है। अपडेट करने से अंतर्निहित कोडिंग त्रुटि हटा दी जाती है ताकि प्लगइन अविश्वसनीय सामग्री का आउटपुट न करे। जबकि अपडेट पहले से इंजेक्ट किए गए पेलोड को स्वचालित रूप से साफ नहीं करते हैं, वे उसी वेक्टर के माध्यम से आगे के शोषण को रोकते हैं।.

यदि अपडेट में देरी होती है - प्रतिक्रिया उपाय और वर्चुअल पैचिंग

संचालनात्मक बाधाएँ (स्टेजिंग, परीक्षण, संगतता) अपडेट में देरी कर सकती हैं। ऐसे मामलों में, जोखिम को कम करने के लिए सामग्री निरीक्षण और प्रतिक्रिया-स्तर के उपायों को लागू करने पर विचार करें जब तक कि आप पैच नहीं कर सकते:

  • उन अनुरोधों को ब्लॉक या चुनौती दें जो संदिग्ध शॉर्टकोड पेलोड के साथ सामग्री प्रस्तुत करने का प्रयास करते हैं।.
  • पृष्ठों को सर्व करने से पहले प्रतिक्रिया पर खतरनाक विशेषताओं और टैग को साफ या निष्क्रिय करें जो शामिल हैं vc_custom_heading.
  • हटा दें या निष्क्रिय करें पर* इवेंट विशेषताएँ, <script> टैग, और छद्म-प्रोटोकॉल जैसे जावास्क्रिप्ट: या रैपर और फ़िल्टर को अस्वीकार करें: रेंडर किए गए HTML में URI।.

उदाहरण वर्चुअल-पैच नियम (संकल्पनात्मक)

ये पैटर्न चित्रात्मक हैं और तैनाती से पहले परीक्षण किए जाने चाहिए:

  • स्क्रिप्ट-जैसे टोकन वाले सामग्री-सहेजने के प्रयासों को ब्लॉक करें:
    • स्थिति: उन प्रशासनिक सामग्री अंत बिंदुओं पर POST करें जहाँ शरीर या JSON में शामिल है vc_custom_heading और टोकन जैसे 9. या विशेषताओं जैसे onload=, onmouseover=, या onclick=.
    • क्रिया: ब्लॉक करें, चुनौती दें, या मैन्युअल समीक्षा के लिए लॉग करें।.
  • रेंडरिंग पर खतरनाक विशेषताओं को हटा दें:
    • स्थिति: प्रतिक्रिया HTML में शामिल है vc_custom_heading विशेषताओं के साथ मार्कअप जो मेल खाते हैं ऑन\w+ या जावास्क्रिप्ट:.
    • क्रिया: सर्व करने से पहले विशेषताओं को हटा दें या निष्क्रिय करें।.
  • इनपुट या URLs में छद्म-प्रोटोकॉल को ब्लॉक करें:
    • स्थिति: क्वेरी स्ट्रिंग या POST बॉडी जिसमें डेटा:text/html, डेटा:;base64, या जावास्क्रिप्ट:.
    • क्रिया: ब्लॉक करें या अतिरिक्त सत्यापन की आवश्यकता करें।.

महत्वपूर्ण: नियमों को सटीक रखें ताकि वैध सामग्री कार्यप्रवाह में बाधा न आए। नियमों का परीक्षण स्टेजिंग में करें और झूठे सकारात्मक के लिए निगरानी रखें।.

यह पता लगाना कि क्या आपको शोषित किया गया था

संग्रहीत XSS पेलोड के लिए जांचें:

  • संदिग्ध उपस्ट्रिंग के लिए डेटाबेस सामग्री खोजें: 9. या विशेषताओं जैसे onload=, onmouseover=, त्रुटि होने पर=, onclick=, जावास्क्रिप्ट:, डेटा:text/html, डेटा:;base64.
  • देखें पोस्ट_सामग्री 8. और पोस्टमेटा के लिए vc_custom_heading संदर्भों और पोस्ट संशोधनों में।.
  • अप्रत्याशित रीडायरेक्ट, बाहरी अनुरोध, या DOM संशोधनों के लिए फ्रंट-एंड पृष्ठों का निरीक्षण करें।.
  • संभावित इंजेक्शन के समय सामग्री एंडपॉइंट्स के लिए संदिग्ध POSTs के लिए एक्सेस लॉग की समीक्षा करें।.
  • मैलवेयर स्कैनर और मैनुअल निरीक्षण का उपयोग करें — केवल स्कैनरों पर निर्भर न रहें।.

यदि आप इंजेक्टेड स्क्रिप्ट पाते हैं

  • साइट को संभावित रूप से समझौता किया गया मानें और फोरेंसिक समीक्षा के लिए लॉग को सुरक्षित रखें।.
  • इंजेक्टेड सामग्री को मैन्युअल रूप से हटा दें या एक साफ संशोधन को पुनर्स्थापित करें।.
  • उन खातों के लिए क्रेडेंशियल्स को घुमाएं जिन्होंने सामग्री बनाई या संपादित की और यदि उपयुक्त हो तो उच्च-विशेषाधिकार उपयोगकर्ताओं के लिए।.
  • अतिरिक्त बैकडोर या वेबशेल के लिए फिर से स्कैन करें और निरीक्षण करें; संग्रहीत XSS का उपयोग स्थायी पहुंच स्थापित करने के लिए एक पिवट के रूप में किया जा सकता है।.

सुधार और सफाई के कदम (विवरण)

  1. प्लगइन अपडेट को 8.7 या बाद में लागू करें (प्राथमिक सुधारात्मक कार्रवाई)।.
  2. इंजेक्टेड सामग्री की पहचान करें और हटाएं:
    • दुर्भावनापूर्ण शॉर्टकोड पेलोड को हटाने के लिए पोस्ट संपादित करें।.
    • यदि SQL में सहज हैं, तो संदिग्ध प्रविष्टियों को खोजने के लिए लक्षित क्वेरी चलाएँ - हमेशा परिवर्तनों से पहले बैकअप लें।.
    • जहाँ उपलब्ध हो, ज्ञात-अच्छे संशोधनों पर वापस लौटें।.
  3. साइट को फिर से स्कैन करें और संदिग्ध फ़ाइलों और डेटाबेस प्रविष्टियों की मैन्युअल रूप से जांच करें।.
  4. पासवर्ड और किसी भी संभावित रूप से उजागर API कुंजियों को बदलें।.
  5. प्रशासन/संपादक खातों के लिए MFA लागू करें।.
  6. उपयोगकर्ता भूमिकाओं का ऑडिट करें और अनावश्यक योगदानकर्ता खातों को हटा दें।.
  7. समझौते के अतिरिक्त संकेतकों की खोज करें (वेबशेल, अनुसूचित कार्य, असामान्य आउटबाउंड कनेक्शन)।.

समग्र XSS जोखिम को कम करने के लिए हार्डनिंग प्रथाएँ।

  • WordPress भूमिकाओं के लिए न्यूनतम विशेषाधिकार लागू करें, विशेष रूप से योगदानकर्ताओं के लिए।.
  • कस्टम शॉर्टकोड और फ़ील्ड के लिए इनपुट और आउटपुट को साफ करें (उपयोग करें wp_kses जहाँ उपयुक्त हो, एक सख्त अनुमति सूची के साथ)।.
  • विश्वसनीय कर्मचारियों के लिए सीधे संपादक पहुंच को सीमित करें और बाहरी योगदानकर्ताओं के लिए संपादकीय समीक्षा लागू करें।.
  • फ़ाइल अखंडता की निगरानी करें और कोर, प्लगइन्स या थीम में अप्रत्याशित परिवर्तनों के लिए अलर्ट सेट करें।.
  • नियमित बैकअप और एक परीक्षण किया हुआ पुनर्स्थापना प्रक्रिया बनाए रखें।.
  • सामग्री लेखकों को अनजान स्रोतों से कच्चा HTML चिपकाने से बचने के लिए प्रशिक्षित करें।.

प्रभावी सुरक्षा में इनबाउंड अनुरोध निरीक्षण और आउटबाउंड प्रतिक्रिया जांच दोनों शामिल होनी चाहिए:

  • अनुरोध निरीक्षण: संदिग्ध सामग्री को संग्रहण अंत बिंदुओं पर प्रस्तुत करने वाले POST या REST कॉल का पता लगाएँ और अवरुद्ध करें।.
  • प्रतिक्रिया निरीक्षण: HTML में खतरनाक विशेषताओं और टैग को तटस्थ करें इससे पहले कि इसे आगंतुकों या प्रशासकों को परोसा जाए।.
  • भूमिका-जानकारी वाले नियम: निम्न-प्राधिकार भूमिकाओं द्वारा लिखित सामग्री के लिए सख्त सबमिशन जांच लागू करें।.
  • झूठे सकारात्मक प्रबंधन: पहले लॉग और अलर्ट करें, फिर संपादकीय कार्यप्रवाह को बाधित करने से बचने के लिए नियमों को परिष्कृत करें।.

केवल स्कैनर क्यों अपर्याप्त हैं

स्कैनर सामग्री संग्रहीत होने के बाद समस्याओं की पहचान करने में मदद करते हैं, लेकिन वे वास्तविक समय में शोषण को रोकते नहीं हैं। संग्रहीत XSS के लिए, ऐसे निवारक नियंत्रण आवश्यक हैं जो सबमिशन पर दुर्भावनापूर्ण सामग्री को रोकें या इसे रेंडरिंग से पहले निष्क्रिय करें ताकि आगंतुकों और प्रशासकों की तुरंत सुरक्षा हो सके।.

एक वास्तविक तैनाती पथ

  1. त्वरित पथ:
    • WPBakery 8.7 में अपडेट करें।.
    • संदिग्ध शॉर्टकोड और संशोधनों के लिए एक त्वरित सामग्री ऑडिट करें।.
  2. संवेदनशील पथ (जटिल वातावरण):
    • असुरक्षित इनपुट को ब्लॉक करने और आउटपुट को निष्क्रिय करने के लिए अस्थायी प्रतिक्रिया-परत निरीक्षण लागू करें।.
    • उत्पादन रोलआउट से पहले स्टेजिंग में प्लगइन अपडेट का शेड्यूल और परीक्षण करें।.
  3. उद्यम पथ:
    • संस्करण परीक्षण के साथ स्टेज्ड रोलआउट का उपयोग करें।.
    • प्लगइन के उत्पादन में मान्य होने तक अस्थायी शमन नियंत्रण सक्रिय रखें।.

क्यों CVE-2025-11161 को मध्यम/निम्न प्राथमिकता के रूप में वर्गीकृत किया जा सकता है

6.5 का CVSS स्कोर कई कारकों को दर्शाता है:

  • आवश्यक प्राधिकार: योगदानकर्ता - बिना प्रमाणीकरण के पहुंच नहीं।.
  • प्रभाव: XSS को अक्सर दूरस्थ कोड निष्पादन की तुलना में कम गंभीर माना जाता है; हालाँकि, यह आगे के समझौते को सक्षम कर सकता है।.
  • शोषण जटिलता: जब एक योगदानकर्ता खाता उपलब्ध हो तो सीधा।.

वर्गीकरण के बावजूद, कई प्रशासकों को इसे तत्काल के रूप में मानना चाहिए क्योंकि योगदानकर्ता खाते सामान्य हैं और XSS क्रेडेंशियल चोरी या प्रशासक अधिग्रहण को सुविधाजनक बना सकता है।.

प्रभाव के वास्तविक दुनिया के उदाहरण (गोपनीय)

  • बहु-लेखक ब्लॉग: योगदानकर्ताओं ने एक स्थायी स्क्रिप्ट डाली जो नकली सदस्यता संकेत प्रदर्शित करती थी और फॉर्म इनपुट कैप्चर करती थी, जिससे एक संपादक की क्रेडेंशियल चोरी हो गई।.
  • सदस्यता साइट: प्रशासनिक पूर्वावलोकन में स्टोर की गई XSS निष्पादित हुई और स्क्रिप्टेड अनुरोधों के माध्यम से एक द्वितीयक प्रशासक बनाने के लिए उपयोग की गई।.

ये मामले दर्शाते हैं कि कैसे स्टोर की गई XSS को कमजोर संचालन सुरक्षा या सामाजिक इंजीनियरिंग के साथ मिलाकर एक बड़े समझौते में परिवर्तित किया जा सकता है।.

अंतिम सिफारिशें - एक प्राथमिकता वाली चेकलिस्ट

  1. जहां संभव हो, तुरंत WPBakery Page Builder को 8.7 में अपडेट करें।.
  2. यदि तत्काल अपडेट संभव नहीं है, तो अवरोध या तटस्थ करने के लिए प्रतिक्रिया-परत शमन लागू करें vc_custom_heading पेलोड्स जिसमें शामिल हैं <script>, पर* विशेषताएँ, जावास्क्रिप्ट: या रैपर और फ़िल्टर को अस्वीकार करें: URI।.
  3. योगदानकर्ता खातों का ऑडिट करें और प्रकाशन विशेषाधिकारों को सीमित करें; बाहरी योगदानों के लिए संपादक की स्वीकृति की आवश्यकता करें।.
  4. दुर्भावनापूर्ण मार्कअप के लिए पोस्ट और संशोधनों की खोज करें और उन्हें साफ करें; समझौता किए गए सामग्री को हटा दें या पूर्ववत करें।.
  5. लॉग की निगरानी करें और संदिग्ध POSTs और असामान्य सामग्री परिवर्तनों पर अलर्ट करें।.
  6. दो-कारक प्रमाणीकरण लागू करें और प्रकाशन और प्रशासनिक खातों के लिए क्रेडेंशियल्स को घुमाएं।.
  7. एक पूर्ण सुरक्षा समीक्षा निर्धारित करें: प्लगइन/थीम ऑडिट, फ़ाइल अखंडता जांच, और बैकअप सत्यापन।.

समापन विचार

स्टोर की गई XSS समस्याएँ जैसे CVE-2025-11161 जटिल सामग्री प्लेटफार्मों में अक्सर होती हैं जहाँ लचीला मार्कअप अनुमति है। प्राथमिक रक्षा यह है कि पैच किए गए प्लगइन संस्करण में अपडेट करके अंतर्निहित बग को हटा दिया जाए। संचालन नियंत्रण - सबमिशन पर सामग्री निरीक्षण, रेंडर पर तटस्थकरण, भूमिका प्रतिबंध और समय पर ऑडिट - जोखिम को कम करते हैं जबकि अपडेट निर्धारित और लागू होते हैं।.

परिशिष्ट: तकनीकी खोज क्वेरी (साइट प्रशासकों के लिए)

बड़े संचालन करने से पहले हमेशा डेटाबेस का बैकअप लें।.

-- Search post content for suspicious tokens (example):
SELECT ID, post_title
FROM wp_posts
WHERE post_content LIKE '%vc_custom_heading%'
  AND (post_content LIKE '%<script%' OR post_content LIKE '%onmouseover=%' OR post_content LIKE '%onclick=%' OR post_content LIKE '%javascript:%' OR post_content LIKE '%data:%');

-- Search postmeta for shortcode usage:
SELECT post_id, meta_key
FROM wp_postmeta
WHERE meta_value LIKE '%vc_custom_heading%';

-- Inspect revisions:
SELECT *
FROM wp_posts
WHERE post_type = 'revision'
  AND post_content LIKE '%vc_custom_heading%';

यदि आपको सहायता की आवश्यकता है, तो एक योग्य सुरक्षा पेशेवर या आपकी आंतरिक सुरक्षा टीम को शामिल करें ताकि सटीक शमन नियम तैयार करने, सामग्री ऑडिट करने और सफाई संचालन को मान्य करने में मदद मिल सके।.

यह सलाहकारी सूचना है और साइट के मालिकों और प्रशासकों को CVE-2025-11161 से संबंधित जोखिमों को प्राथमिकता देने और कम करने में सहायता करने के लिए है।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा अलर्ट वर्डप्रेस SSO एक्सपोजर (CVE202510648)

अगला लेख —

सामुदायिक सलाहकार URLYar संग्रहीत XSS जोखिम (CVE202510133)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

समुदाय अलर्ट सदस्यता प्लगइन में अनुपस्थित प्राधिकरण (CVE202511835)

  • नवम्बर 5, 2025
वर्डप्रेस पेड मेम्बरशिप सब्सक्रिप्शन प्लगइन <= 2.16.4 - अनधिकृत मनमाने सदस्य सब्सक्रिप्शन ऑटो नवीनीकरण की कमी की अनुमति
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाहकार मनमाना छवि स्थानांतरण (CVE202512494)

  • नवम्बर 14, 2025
WordPress इमेज गैलरी – फोटो ग्रिड और वीडियो गैलरी प्लगइन <= 2.12.28 - प्रमाणित (लेखक+) मनमाने छवि फ़ाइल स्थानांतरण में अनुचित प्राधिकरण