| प्लगइन का नाम | लिंक हॉपर्स |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2025-15483 |
| तात्कालिकता | कम |
| CVE प्रकाशन तिथि | 2026-02-13 |
| स्रोत URL | CVE-2025-15483 |
तत्काल: लिंक हॉपर्स में स्टोर किया गया XSS (<= 2.5) — वर्डप्रेस साइट के मालिकों और डेवलपर्स को क्या जानना चाहिए
तारीख: 13 फरवरी 2026
लेखक: हांगकांग सुरक्षा विशेषज्ञ
सारांश
लिंक हॉपर्स प्लगइन (संस्करण 2.5 तक और शामिल) में एक स्टोर किया गया प्रमाणित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE-2025-15483) का खुलासा किया गया है। एक प्रमाणित प्रशासक hop_name फ़ील्ड में HTML/JavaScript इंजेक्ट कर सकता है जिसे बाद में उचित एस्केपिंग के बिना प्रस्तुत किया जाता है। हालांकि शोषण के लिए प्रशासक विशेषाधिकार की आवश्यकता होती है, प्रशासनिक संदर्भ में चलने वाला स्टोर किया गया XSS सत्र चोरी, बैकडोर का निर्माण, साइट का विकृति, और आगे के समझौते का कारण बन सकता है।.
TL;DR — तत्काल कार्रवाई
- जांचें कि क्या लिंक हॉपर्स स्थापित है और संस्करण की पुष्टि करें। संस्करण ≤ 2.5 को संवेदनशील मानें।.
- यदि कोई विक्रेता पैच उपलब्ध नहीं है, तो एक सुरक्षित रिलीज़ प्रकाशित होने तक प्लगइन को अक्षम या हटा देने पर विचार करें।.
- प्रशासनिक पहुंच को सीमित करें: प्रशासक खातों की समीक्षा करें, मजबूत पासवर्ड लागू करें, जहां संभव हो MFA सक्षम करें।.
- HTML शामिल hop_name प्रविष्टियों के लिए डेटाबेस में खोजें,
