Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग NGO चेतावनी ज़िप अटैचमेंट प्रकटीकरण (CVE202511701)

वर्डप्रेस ज़िप अटैचमेंट्स प्लगइन
0
शेयर
0
0
0
0





Urgent: Zip Attachments (<= 1.6) — Broken Access Control (CVE-2025-11701)


प्लगइन का नाम ज़िप अटैचमेंट्स
कमजोरियों का प्रकार अधिकृतता बाईपास
CVE संख्या CVE-2025-11701
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-10-15
स्रोत URL CVE-2025-11701

तत्काल: ज़िप अटैचमेंट (≤ 1.6) — टूटी हुई पहुँच नियंत्रण अनधिकृत रूप से निजी और पासवर्ड-संरक्षित अटैचमेंट का खुलासा करने की अनुमति देती है (CVE-2025-11701)

सारांश — एक टूटी हुई पहुँच नियंत्रण सुरक्षा कमजोरी (CVE-2025-11701) जो “ज़िप अटैचमेंट” वर्डप्रेस प्लगइन (संस्करण ≤ 1.6) को प्रभावित करती है, निजी या पासवर्ड-संरक्षित पोस्ट से संबंधित फ़ाइलों की अनधिकृत पुनर्प्राप्ति की अनुमति देती है। प्रकाशन के समय कोई आधिकारिक विक्रेता पैच उपलब्ध नहीं है। यह पोस्ट समस्या, संभावित प्रभाव, पहचान और उन उपायों को समझाती है जिन्हें आप तुरंत लागू कर सकते हैं, साथ ही स्थायी समाधान के लिए डेवलपर मार्गदर्शन। यह एक हांगकांग सुरक्षा प्रैक्टिशनर की आवाज़ में व्यावहारिक, बिना किसी बकवास की सलाह में लिखा गया है।.

सामग्री की तालिका

क्या हुआ (साधारण अंग्रेजी में अवलोकन)

15 अक्टूबर 2025 को “ज़िप अटैचमेंट” वर्डप्रेस प्लगइन के लिए एक सुरक्षा कमजोरी (CVE-2025-11701) प्रकाशित की गई जो 1.6 तक के संस्करणों को प्रभावित करती है। यह प्लगइन पोस्ट से संबंधित अटैचमेंट के ज़िप आर्काइव बनाता और सर्व करता है। कमजोर कोड पथ यह सत्यापित करने में विफल रहता है कि क्या अनुरोधकर्ता फ़ाइलों तक पहुँचने के लिए अधिकृत है, पहले उन्हें पैकेज या सर्व करने से।.

परिणामस्वरूप, एक अनधिकृत आगंतुक उन अटैचमेंट का अनुरोध कर सकता है जो लॉगिन किए गए उपयोगकर्ताओं या उन लोगों के लिए प्रतिबंधित होने चाहिए जो एक पोस्ट पासवर्ड जानते हैं। प्रकाशन के समय कोई विक्रेता पैच उपलब्ध नहीं होने के कारण, साइट मालिकों को डेटा खुलासे को रोकने के लिए कार्रवाई करनी चाहिए।.

यह गंभीर क्यों है: प्रभाव और वास्तविक हमले के परिदृश्य

टूटी हुई पहुँच नियंत्रण सबसे हानिकारक सुरक्षा कमजोरी वर्गों में से एक है क्योंकि यह इच्छित अनुमतियों को दरकिनार करती है। व्यावहारिक परिणामों में शामिल हैं:

  • निजी अटैचमेंट का खुलासा: आंतरिक दस्तावेज़, ड्राफ्ट, चालान या स्टाफ छवियाँ डाउनलोड की जा सकती हैं।.
  • पासवर्ड-संरक्षित अटैचमेंट का खुलासा: हमलावर बिना पोस्ट पासवर्ड जाने फ़ाइलें पुनर्प्राप्त कर सकते हैं।.
  • डेटा लीक: अटैचमेंट अक्सर संवेदनशील जानकारी (अनुबंध, आईडी, स्प्रेडशीट, ग्राहक डेटा) शामिल करते हैं।.
  • प्रतिष्ठा, कानूनी और अनुपालन जोखिम: उजागर व्यक्तिगत डेटा विभिन्न न्यायक्षेत्रों में उल्लंघन सूचनाओं या नियामक कार्रवाई को ट्रिगर कर सकता है, जिसमें हांगकांग शामिल है।.
  • लक्षित अन्वेषण और सामूहिक संग्रह: स्वचालित स्कैन पोस्ट आईडी को सूचीबद्ध कर सकते हैं और बड़े पैमाने पर अटैचमेंट डाउनलोड कर सकते हैं।.

स्वचालित स्कैन करना तुच्छ है क्योंकि भेद्यता बिना प्रमाणीकरण के है; हमलावर प्लगइन एंडपॉइंट्स के लिए अनुरोधों को स्क्रिप्ट कर सकते हैं और तेजी से फ़ाइलें एकत्र कर सकते हैं।.

यह कमजोरी कैसे काम करती है (तकनीकी सारांश)

प्लगइन एक एंडपॉइंट या AJAX क्रिया को उजागर करता है जो एक दिए गए पोस्ट आईडी के लिए अटैचमेंट्स को शामिल करने वाला ZIP बनाता और लौटाता है। कमजोर हैंडलर मजबूत प्राधिकरण जांचों को छोड़ देता है और आने वाले पोस्ट पहचानकर्ता पर भरोसा करता है। सामान्य रूप से गायब जांचों में शामिल हैं:

  • क्षमताओं की कोई पुष्टि नहीं (उदाहरण के लिए, current_user_can(‘read_post’, $post_id))।.
  • पोस्ट पासवर्ड की कोई पुष्टि नहीं post_password_required() और संबंधित टोकन जांचों के माध्यम से।.
  • पोस्ट स्थिति (निजी/ड्राफ्ट) की जांच नहीं करना या यह कि अनुरोधकर्ता प्रमाणित है और इसे देखने की अनुमति है।.

क्योंकि एंडपॉइंट केवल एक प्रदान किए गए पोस्ट आईडी के आधार पर संग्रह बनाता है, एक हमलावर मनमाने आईडी का अनुरोध कर सकता है और अटैचमेंट प्राप्त कर सकता है, भले ही पोस्ट निजी या पासवर्ड-संरक्षित हों। हम यहां हथियारबंद शोषण कदम प्रकाशित नहीं करते हैं, लेकिन लॉजिक दोष एक बार खोजे जाने पर सामूहिक निष्कर्षण को सक्षम करता है।.

अपने लॉग में शोषण प्रयासों का पता कैसे लगाएं

प्लगइन एंडपॉइंट्स या वर्डप्रेस AJAX के लिए असामान्य या दोहराए जाने वाले अनुरोधों के लिए एक्सेस और एप्लिकेशन लॉग खोजें जिनमें पैटर्न जैसे हैं:

  • अनुरोध admin-ajax.php ZIP-संबंधित क्रियाओं के साथ, उदाहरण के लिए।. admin-ajax.php.*action=.*zip.*attach|zip_attachments.
  • पोस्ट आईडी के साथ “zip” या “attachments” वाले अनुरोध, उदाहरण के लिए।. /?zip_attachments=1&post=123 या /wp-admin/admin-ajax.php?action=zip_attachments&post=123.
  • अनुरोध /wp-content/plugins/zip-attachments/ या समान प्लगइन पथ।.
  • एक ही IP या रेंज से अनुक्रमिक या विविध पोस्ट आईडी के लिए कई अनुरोध (सूचीकरण व्यवहार)।.
  • 200 के साथ बाइनरी ZIP सामग्री लौटाने वाले अनुरोध जहां अनुरोधकर्ता प्रमाणित नहीं है।.
  • ZIP निर्माण के लिए उपयोग किए जाने वाले एंडपॉइंट्स पर ट्रैफिक स्पाइक्स।.

यदि आप मिलती-जुलती गतिविधि पाते हैं, तो इसे संभावित डेटा प्रकटीकरण के रूप में मानें और नीचे दिए गए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

तात्कालिक उपाय (जो साइट मालिकों को अब करना चाहिए)

यदि आपकी साइट Zip Attachments ≤ 1.6 चलाती है, तो विक्रेता अपडेट की प्रतीक्षा न करें। प्रभाव और संचालन संबंधी बाधाओं के आधार पर नीचे दिए गए कार्यों को प्राथमिकता दें।.

प्राथमिकता 1 — त्वरित, उच्च-प्रभाव सुरक्षा

  1. यदि आप ZIP सुविधा खोने का सहन कर सकते हैं, तो तुरंत प्लगइन को निष्क्रिय करें। यह उजागर कोड पथ को पूरी तरह से हटा देता है।.
  2. यदि निष्क्रिय करना असंभव है, तो वेब सर्वर या प्रॉक्सी स्तर पर पहुंच को अवरुद्ध करें ताकि अनधिकृत अनुरोध प्लगइन एंडपॉइंट्स तक न पहुंच सकें (नीचे नमूना नियम)।.
  3. एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें या अपने होस्टिंग प्रदाता से ZIP एंडपॉइंट्स तक अनधिकृत पहुंच को अस्वीकार करने वाले अवरोध नियम लागू करने के लिए कहें।.

प्राथमिकता 2 — सख्ती और पहचान

  1. लॉगिंग को सक्षम/विस्तारित करें और ऊपर वर्णित पहचान पैटर्न के लिए अलर्ट सेट करें।.
  2. संदिग्ध एंडपॉइंट्स की दर-सीमा निर्धारित करें ताकि सूचीकरण और स्वचालित हार्वेस्टर धीमे हो सकें।.
  3. ZIP एंडपॉइंट्स तक पूर्व पहुंच के लिए ऐतिहासिक लॉग की खोज करें और संवेदनशील सामग्री के लिए हाल ही में डाउनलोड किए गए अटैचमेंट की समीक्षा करें।.

प्राथमिकता 3 — दीर्घकालिक

  1. प्लगइन को एक सुरक्षित विकल्प से बदलें या उपलब्ध होने पर एक पैच किया गया संस्करण लागू करें।.
  2. जहां विक्रेता का समाधान नहीं आ रहा है, वहां प्राधिकरण को लागू करने के लिए सर्वर-स्तरीय या एप्लिकेशन-स्तरीय जांच जोड़ें (डेवलपर मार्गदर्शन नीचे)।.

WAF / होस्टिंग प्रदाता के माध्यम से आभासी पैचिंग

वर्चुअल पैचिंग (HTTP स्तर पर हमलों को अवरुद्ध करना) एक प्रभावी तात्कालिक नियंत्रण है जबकि आप एक स्थायी समाधान का परीक्षण और लागू करते हैं। यदि आप एक होस्टेड WAF का उपयोग करते हैं या आपका होस्टिंग प्रदाता नियम प्रबंधन प्रदान करता है, तो उनसे नीचे दिए गए पैटर्न को अवरुद्ध करने के लिए कहें। यदि आप स्वयं प्रबंधित करते हैं, तो आप सीधे नमूना नियम लागू कर सकते हैं।.

एक वर्चुअल पैच को क्या करना चाहिए:

  • कमजोर एंडपॉइंट पैटर्न से मेल खाने वाले अनुरोधों को अवरुद्ध करें (जैसे।. admin-ajax.php ZIP क्रियाओं या सीधे प्लगइन फ़ाइल पहुंच के साथ)।.
  • उन एंडपॉइंट्स के लिए अनुरोधों को अस्वीकार करें जब तक कि एक मान्य प्राधिकृत सत्र कुकी मौजूद न हो।.
  • स्कैनिंग गतिविधि का पता लगाने के लिए मेल खाने वाले अनुरोधों की दर-सीमा निर्धारित करें और लॉग करें।.

वैकल्पिक नियम तर्क:

यदि अनुरोध URI ^/wp-admin/admin-ajax.php$ से मेल खाता है और क्वेरी स्ट्रिंग में action=zip_attachments (या समान) शामिल है और अनुरोध में wordpress_logged_in_ कुकी शामिल नहीं है तो HTTP 403 के साथ ब्लॉक करें और लॉग करें

उदाहरण Nginx स्निपेट (अपने साइट कॉन्फ़िगरेशन में रखें):

स्थान = /wp-admin/admin-ajax.php {

उदाहरण Apache (mod_rewrite) वैकल्पिक स्निपेट:

RewriteCond %{REQUEST_URI} ^/wp-admin/admin-ajax.php$

उदाहरण ModSecurity-शैली नियम (चित्रणात्मक - अपने इंजन के लिए अनुकूलित करें):

SecRule REQUEST_URI "@rx /wp-admin/admin-ajax.php" "चरण:1,श्रृंखला,अस्वीकृत,लॉग,संदेश:'ब्लॉक ज़िप अटैचमेंट्स अनधिकृत पहुंच',id:1000010"

महत्वपूर्ण: उचित उपयोगकर्ताओं को ब्लॉक करने से बचने के लिए पहले “सिमुलेट” मोड में नियमों का परीक्षण करें। यदि आप सुनिश्चित नहीं हैं, तो अपने होस्टिंग या सुरक्षा प्रदाता से नियम लागू करने और मान्य करने के लिए कहें।.

अस्थायी सख्ती: अनधिकृत ZIP अनुरोधों को ब्लॉक करने के लिए नमूना WordPress mu-plugin

यदि आप प्लगइन को निष्क्रिय नहीं कर सकते और तुरंत WAF नियम लागू नहीं कर सकते, तो एक छोटा अनिवार्य उपयोग प्लगइन (mu-plugin) PHP स्तर पर संभावित हमले के वेक्टर को ब्लॉक कर सकता है। यह एक अल्पकालिक समाधान है - केवल तब तक लागू करें जब तक एक उचित पैच लागू न हो।.

<?php;

नोट्स:

  • यह mu-plugin संभावित प्लगइन एंडपॉइंट्स के लिए अनधिकृत अनुरोधों को अस्वीकार करता है और घटनाओं को लॉग करता है। यह जानबूझकर सतर्क है।.
  • समायोजित करें $suspicious_actions यदि ज्ञात हो तो प्लगइन के वास्तविक क्रिया नामों के आधार पर।.
  • जब आपके पास एक सत्यापित, स्थायी समाधान हो, तो इस mu-plugin को हटा दें।.

डेवलपर मार्गदर्शन: प्लगइन लेखकों को इसे कैसे ठीक करना चाहिए

प्लगइन रखरखाव करने वालों को ज़िप निर्माण और सेवा पथों में प्राधिकरण जांच को लागू करने के लिए एक उचित पैच को प्राथमिकता देनी चाहिए। अनुशंसित उपाय:

1. मजबूत प्राधिकरण जांच

  • अटैचमेंट पैकेज करने से पहले, सत्यापित करें कि अनुरोधकर्ता पोस्ट और इसके अटैचमेंट देख सकता है। क्षमता जांच का उपयोग करें जैसे current_user_can('read_post', $post_id) जहाँ उपलब्ध हो।.
  • निजी पोस्ट के लिए, सुनिश्चित करें कि अनुरोधकर्ता के पास उचित क्षमता है या वह पोस्ट लेखक है।.
  • पासवर्ड-संरक्षित पोस्ट के लिए, वर्डप्रेस की मूल तंत्रों के माध्यम से पोस्ट पासवर्ड/टोकन की आवश्यकता और सत्यापन करें।.
  • अनुरोधों को अस्वीकार करें जब तक कि जांच पास न हो; एंडपॉइंट्स की अस्पष्टता पर निर्भर रहने से बचें।.

2. post_password_required() का सम्मान करें

यदि एक पोस्ट के लिए पासवर्ड की आवश्यकता है, तो सुनिश्चित करें कि पासवर्ड प्रदान किया गया है और अटैचमेंट्स को सर्व करने से पहले सही तरीके से सत्यापित किया गया है।.

3. AJAX के लिए नॉनस सुरक्षा

नॉनस की आवश्यकता और सत्यापन करें (उपयोग करके wp_verify_nonce()) AJAX क्रियाओं के लिए जो प्रमाणित UI से उत्पन्न होती हैं ताकि CSRF और दुरुपयोग से सुरक्षा हो सके।.

4. कच्चे फ़ाइल पथों को उजागर करने से बचें

सीधे फ़ाइल सिस्टम पथ या अनधिकृत URLs वापस न करें। केवल अधिकृत होने के बाद फ़ाइलें स्ट्रीम करें और यदि बाहरी संग्रहण का उपयोग किया जाता है तो हस्ताक्षरित, अल्पकालिक URLs पर विचार करें।.

5. दर सीमित करना और लॉगिंग

ENUMERATION को रोकने के लिए ZIP निर्माण के लिए सर्वर-साइड दर सीमित करना लागू करें और IP और उपयोगकर्ता/टोकन संदर्भ के साथ प्रयासों को लॉग करें।.

6. यूनिट और इंटीग्रेशन परीक्षण जोड़ें

परीक्षण बनाएं यह सुनिश्चित करने के लिए कि निजी और पासवर्ड-संरक्षित पोस्ट के अटैचमेंट्स को अनधिकृत कॉलर्स के लिए बंडल नहीं किया जा सकता है।.

हैंडलर में जल्दी चलाने के लिए उदाहरण प्सूडो कोड:

$post = get_post( $post_id );

इस विशिष्ट मुद्दे से परे अपने वर्डप्रेस साइट को मजबूत करना

यह घटना उस जोखिम को उजागर करती है जो प्लगइन्स उपयोगकर्ता फ़ाइलों को सर्व करते समय पेश करते हैं। अनुशंसित सामान्य नियंत्रण:

  • न्यूनतम विशेषाधिकार का सिद्धांत: केवल उन क्षमताओं को प्लगइनों को दें जिनकी उन्हें आवश्यकता है।.
  • संवेदनशील अटैचमेंट को वेब रूट से बाहर या जहां संभव हो, प्रमाणित हैंडलरों के पीछे होस्ट करें।.
  • सीधे सार्वजनिक लिंक के बजाय ऑब्जेक्ट स्टोरेज के लिए हस्ताक्षरित, समय-सीमित URLs का उपयोग करें।.
  • WAF सुरक्षा तैनात करें और खुलासे के दौरान आभासी पैच प्रदान करने के लिए नियमों को अपडेट रखें।.
  • महत्वपूर्ण हार्डनिंग के लिए अनिवार्य प्लगइन्स का उपयोग करें ताकि सुरक्षा तीसरे पक्ष के प्लगइन अपडेट से स्वतंत्र हो।.
  • नियमित रूप से समीक्षा करें कि प्लगइन्स फ़ाइल डाउनलोड को कैसे संभालते हैं और क्या वे प्राधिकरण जांच लागू करते हैं।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आपने शोषण का पता लगाया)

  1. तुरंत शमन लागू करें: प्लगइन को निष्क्रिय करें या अनधिकृत ZIP अनुरोधों को ब्लॉक करें (WAF/mu-plugin/सर्वर नियम)।.
  2. लॉग को संरक्षित करें: संबंधित समय सीमा को कवर करने वाले एक्सेस, एप्लिकेशन और सर्वर लॉग एकत्र करें।.
  3. उजागर फ़ाइलों की पहचान करें: निर्धारित करें कि कौन से पोस्ट आईडी और अटैचमेंट प्रदान किए गए थे।.
  4. संवेदनशीलता का आकलन करें: PHI/PII या विनियमित डेटा के लिए जांचें और अपने क्षेत्राधिकार में कानूनी/नियामक दायित्वों का पालन करें (हांगकांग PDPO विचारों सहित)।.
  5. हितधारकों को सूचित करें और अपनी आंतरिक खुलासा प्रक्रिया का पालन करें।.
  6. उन क्रेडेंशियल्स या टोकनों को घुमाएं जो अटैचमेंट में उजागर हो सकते हैं।.
  7. एक स्थायी पैच लागू करें या प्लगइन को बदलें, फिर सत्यापित करें और परीक्षण करें।.
  8. यदि संवेदनशील डेटा उजागर हुआ है या यदि संकेत गहरे समझौते का संकेत देते हैं तो फोरेंसिक समीक्षा पर विचार करें।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न — क्या यह केवल एक समस्या है यदि मैं निजी पोस्ट का उपयोग करता हूं?

उत्तर — यह समस्या निजी और पासवर्ड-संरक्षित पोस्ट से जुड़े अटैचमेंट को प्रभावित करती है। यदि आपकी साइट कभी उन सुविधाओं का उपयोग नहीं करती है, तो आपका तत्काल जोखिम कम है, लेकिन कई साइटों में छिपे हुए ड्राफ्ट या आंतरिक फ़ाइलें होती हैं जो प्रभावित हो सकती हैं।.

प्रश्न — क्या प्लगइन को निष्क्रिय करने से जोखिम रुक जाएगा?

उत्तर — हाँ। प्लगइन को निष्क्रिय करने से कमजोर कोड पथ हटा दिया जाता है। यदि आप इसे निष्क्रिय नहीं कर सकते हैं, तो सर्वर-स्तरीय ब्लॉक्स या एक mu-plugin जोखिम को कम कर सकता है जब तक कि पैच लागू नहीं किया जाता।.

प्रश्न — क्या हमलावर मेरे सर्वर पर अन्य फ़ाइलों तक पहुँच सकते हैं?

A — यह दोष उन अटैचमेंट्स से संबंधित है जिन्हें वर्डप्रेस द्वारा प्रबंधित किया जाता है और प्लगइन के माध्यम से प्रदान किया जाता है। यह अनिवार्य रूप से अटैचमेंट्स के परे मनमाने फ़ाइल पहुँच को इंगित नहीं करता है, लेकिन संवेदनशील फ़ाइलों का कोई भी प्रकटीकरण गंभीरता से लिया जाना चाहिए।.

पेशेवर मदद कैसे प्राप्त करें

यदि आपको शमन लागू करने में सहायता की आवश्यकता है, तो अपने होस्टिंग प्रदाता से पूछें या वर्डप्रेस और वेब एप्लिकेशन फ़ायरवॉल में अनुभवी सुरक्षा सलाहकार से संपर्क करें। उन्हें ऊपर दिए गए पहचान पैटर्न और उदाहरण नियम प्रदान करें ताकि वे तेजी से कार्रवाई कर सकें। हांगकांग में संगठनों के लिए, घटना प्रतिक्रिया विशेषज्ञता और संबंधित नियामक दायित्वों की समझ वाले स्थानीय सुरक्षा फर्मों पर विचार करें।.

अंतिम सिफारिशें और अगले कदम

  1. यदि आप Zip Attachments ≤ 1.6 चलाते हैं: मान लें कि आप संवेदनशील हैं। तुरंत प्लगइन को निष्क्रिय करें या यहां वर्णित शमन लागू करें।.
  2. प्लगइन एंडपॉइंट्स पर अनधिकृत अनुरोधों को अस्वीकार करने के लिए एक WAF नियम या सर्वर ब्लॉक लागू करें और स्वचालित संग्रह को रोकें।.
  3. डेटा पहुँच के प्रमाण के लिए लॉग की समीक्षा करें और यदि आपको शोषण के संकेत मिलते हैं तो घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.
  4. एक स्थायी समाधान लागू करें - या तो एक आधिकारिक प्लगइन अपडेट जो ऊपर वर्णित प्राधिकरण जांचों को लागू करता है, या प्लगइन को एक विकल्प से बदलें जो सुरक्षित सामग्री की सही सुरक्षा करता है।.
  5. दीर्घकालिक हार्डनिंग लागू करें (हस्ताक्षरित यूआरएल, वेब रूट से होस्ट फ़ाइलें, नीति को लागू करने के लिए mu-plugins)।.

लेखक: हांगकांग सुरक्षा विशेषज्ञ

हम प्रकटीकरण की निगरानी करते हैं और वर्डप्रेस साइट मालिकों के लिए व्यावहारिक सुरक्षा और सुधार सलाह प्रकाशित करते हैं। यदि आपको सहायता की आवश्यकता है, तो अपने होस्टिंग या सुरक्षा प्रदाता से संपर्क करें, या शमन लागू करने और घटना की समीक्षा करने में मदद के लिए एक योग्य सुरक्षा सलाहकार से संपर्क करें।.

प्रकाशित: 2025-10-15 — CVE: CVE-2025-11701


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सिविल सोसाइटी अलर्ट BookWidgets XSS(CVE202510139)

अगला लेख —

हांगकांग सुरक्षा सलाहकार टैरिफ़क्स SQL इंजेक्शन (CVE202510682)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

HK NGO चेतावनियाँ टिप्पणी जानकारी डिटेक्टर भेद्यता(CVE202510311)

  • अक्टूबर 3, 2025
वर्डप्रेस टिप्पणी जानकारी डिटेक्टर प्लगइन <= 1.0.5 - सेटिंग्स अपडेट भेद्यता के लिए क्रॉस-साइट अनुरोध धोखाधड़ी
Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक अलर्ट Bravis प्लगइन खाता अधिग्रहण (CVE20255060)

  • अगस्त 22, 2025
प्लगइन नाम Bravis उपयोगकर्ता प्रकार की कमजोरियां खाता अधिग्रहण की कमजोरी CVE संख्या CVE-2025-5060 तात्कालिकता उच्च CVE प्रकाशन तिथि…