Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग साइबर सुरक्षा चेतावनी वर्डप्रेस सुपरसर्च XSS (CVE20258064)

वर्डप्रेस बाइबल सुपरसर्च प्लगइन
0
शेयर
0
0
0
0






Bible SuperSearch <= 6.0.1 — Authenticated (Contributor+) Stored XSS via selector_height: What site owners and developers must do now


प्लगइन का नाम बाइबल सुपरसर्च
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2025-8064
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-20
स्रोत URL CVE-2025-8064

बाइबल सुपरसर्च <= 6.0.1 — प्रमाणित (योगदानकर्ता+) संग्रहीत XSS चयनकर्ता_ऊँचाई के माध्यम से: साइट के मालिकों और डेवलपर्स को अब क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ  |  दिनांक: 2025-08-20

TL;DR

“Bible SuperSearch” (संस्करण ≤ 6.0.1) वर्डप्रेस प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का खुलासा किया गया है (CVE‑2025‑8064)। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता या उससे उच्चतर विशेषाधिकार हैं, प्लगइन के माध्यम से एक पेलोड इंजेक्ट कर सकता है चयनकर्ता_ऊंचाई पैरामीटर के माध्यम से एक पेलोड इंजेक्ट कर सकता है। पेलोड स्थायी होता है और बाद में प्रशासकों या साइट आगंतुकों के संदर्भ में निष्पादित हो सकता है। प्लगइन लेखक ने संस्करण 6.1.0 में समस्या को ठीक किया।.

तात्कालिक कार्रवाई (त्वरित सूची):

  • तुरंत बाइबल सुपरसर्च को 6.1.0 (या बाद में) अपडेट करें।.
  • यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो योगदानकर्ता+ खातों को सीमित करें, प्लगइन को अक्षम करें, या अपने होस्टिंग/WAF प्रदाता के माध्यम से आभासी पैचिंग लागू करें।.
  • संदिग्ध चयनकर्ता_ऊंचाई मानों या एम्बेडेड स्क्रिप्ट टैग के लिए अपने डेटाबेस और विजेट/प्लगइन सेटिंग्स को स्कैन करें और उन्हें हटा दें।.
  • उच्च विशेषाधिकार वाले खातों के लिए क्रेडेंशियल स्वच्छता करें और शोषण के संकेतों के लिए लॉग की निगरानी करें।.

यह गाइड तकनीकी संदर्भ, वास्तविकवादी हमले के परिदृश्य, पहचान चरण, containment उपाय, डेवलपर हार्डनिंग सलाह, और व्यावहारिक WAF हस्ताक्षर और निगरानी सुझाव प्रदान करता है। टोन व्यावहारिक है और साइट ऑपरेटरों और प्लगइन डेवलपर्स की ओर उन्मुख है; सलाह विक्रेता-न्यूट्रल है।.

अवलोकन: क्या हुआ और यह क्यों महत्वपूर्ण है

20 अगस्त 2025 को Bible SuperSearch ≤ 6.0.1 में एक संग्रहीत XSS भेद्यता (CVE‑2025‑8064) का खुलासा किया गया। एक प्रमाणित योगदानकर्ता (या उच्चतर) डेटा प्रस्तुत कर सकता है चयनकर्ता_ऊंचाई जिसे प्लगइन स्टोर करता है और बाद में पर्याप्त स्वच्छता/एस्केपिंग के बिना आउटपुट करता है। चूंकि मान स्थायी है, इंजेक्ट किया गया मार्कअप या स्क्रिप्ट प्रशासकों, संपादकों, या सार्वजनिक आगंतुकों के ब्राउज़र में संदर्भ के आधार पर निष्पादित होता है।.

स्टोर किया गया XSS विशेष रूप से खतरनाक है: पेलोड सर्वर-साइड पर स्थायी होता है और हर बार कमजोर आउटपुट को प्रस्तुत किए जाने पर निष्पादित होता है। परिणामों में प्रशासनिक अधिग्रहण, सत्र चोरी, स्थायी साइट विकृति, और क्लाइंट-साइड मैलवेयर का वितरण शामिल है।.

हालांकि इस भेद्यता का शोषण करने के लिए एक योगदानकर्ता खाते की आवश्यकता होती है (जो प्रमाणित दोषों की तुलना में तात्कालिकता को कम करता है), योगदानकर्ता खाते सामान्य हैं और उनका दुरुपयोग या समझौता किया जा सकता है। ऐसे दोष की उपस्थिति को एक महत्वपूर्ण परिचालन जोखिम के रूप में मानें।.

प्रभावित संस्करण कौन से हैं और इसे कहाँ ठीक किया गया

  • प्रभावित संस्करण: Bible SuperSearch ≤ 6.0.1
  • ठीक किया गया: 6.1.0
  • CVE: CVE‑2025‑8064
  • आवश्यक विशेषाधिकार: योगदानकर्ता

भेद्यता कैसे काम करती है — तकनीकी सारांश (गैर-विक्रेता)

उच्च स्तर पर:

  1. प्लगइन एक स्वीकार करता है चयनकर्ता_ऊंचाई पैरामीटर (विजेट सेटिंग्स, शॉर्टकोड विशेषताएँ, प्रशासन फ़ॉर्म या AJAX)।.
  2. मान को स्थायी भंडारण (पोस्टमेटा, विकल्प, विजेट सेटिंग्स) में उचित मान्यता या सफाई के बिना संग्रहीत किया जाता है।.
  3. बाद में, संग्रहीत मान को एक पृष्ठ या प्रशासन UI में उचित एस्केपिंग के बिना प्रस्तुत किया जाता है, जिससे HTML/JS निष्पादन की अनुमति मिलती है।.
  4. एक हमलावर पेलोड्स जैसे डाल सकता है या . जब एक व्यवस्थापक एक पृष्ठ लोड करता है जो संग्रहीत मान दिखाता है, तो ब्राउज़र उस उपयोगकर्ता के सत्र संदर्भ में पेलोड को निष्पादित करता है।.

चूंकि संग्रहीत XSS पेलोड स्थायी होते हैं, हमलावर का कोड बार-बार सक्रिय किया जा सकता है और इसका उपयोग पहुंच बढ़ाने, स्थायी बैकडोर बनाने या प्रमाणीकरण टोकन को निकालने के लिए किया जा सकता है।.

वास्तविक शोषण परिदृश्य

  1. दुर्भावनापूर्ण अंदरूनी या समझौता किया गया योगदानकर्ता खाता — एक योगदानकर्ता विजेट या प्लगइन सेटिंग्स में एक पेलोड इंजेक्ट करता है जो तब निष्पादित होता है जब एक संपादक/प्रशासन प्रभावित क्षेत्र को देखता है।.
  2. अतिथि पोस्टिंग/संपादकीय कार्यप्रवाह — एक योगदानकर्ता जो पोस्ट सबमिट करता है या सामग्री लिखता है, वह पेलोड्स को एम्बेड कर सकता है जो संपादकीय पूर्वावलोकन के दौरान या जब संपादक सामग्री को स्वीकृत करते हैं, तब सक्रिय होते हैं।.
  3. खाता निर्माण के माध्यम से सामूहिक शोषण — यदि एक हमलावर कई योगदानकर्ता खातों (कमजोर पंजीकरण नीति) को पंजीकृत करता है, तो वे प्रशासन दृश्य में स्थायी रूप से कई पेलोड्स लगा सकते हैं।.
  4. स्वचालित स्कैनिंग और इंजेक्शन — अवसरवादी हमलावर कमजोर प्लगइन के इंस्टॉलेशन के लिए स्कैन करते हैं और उजागर एंडपॉइंट्स पर स्वचालित रूप से पेलोड पोस्ट करते हैं।.

प्रभाव और हमलावर क्या कर सकता है

स्टोर की गई XSS एक हमलावर को सक्षम बनाती है:

  • कुकीज़ या सत्र टोकन चुराना और खाता अधिग्रहण का प्रयास करना।.
  • व्यवस्थापक के ब्राउज़र के माध्यम से क्रियाएँ करें (CSRF-शैली संचालन)।.
  • एक व्यवस्थापक के सत्र से प्रमाणित अनुरोध जारी करके बैकडोर स्थापित करें।.
  • स्पैम इंजेक्ट करना, ट्रैफ़िक को पुनर्निर्देशित करना, या क्लाइंट-साइड मैलवेयर लोड करना।.

पहचान और समझौते के संकेत (IoCs)

निम्नलिखित की जांच करें:

  • प्लगइन कॉन्फ़िगरेशन मान, विजेट विकल्प, पोस्टमेटा और एम्बेडेड HTML या JS के लिए विकल्प (देखें