Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाहकार UsersWP SQL इंजेक्शन (CVE202510003)

वर्डप्रेस यूजर्सWP प्लगइन
0
शेयर
0
0
0
0
प्लगइन का नाम यूजर्सWP
कमजोरियों का प्रकार एसक्यूएल इंजेक्शन
CVE संख्या CVE-2025-10003
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2025-09-06
स्रोत URL CVE-2025-10003

यूजर्सWP <= 1.2.44 — प्रमाणित (कम-विशेषाधिकार) SQL इंजेक्शन (CVE-2025-10003)

लेखक: हांगकांग सुरक्षा विशेषज्ञ | दिनांक: 2025-09-06

सारांश: एक उच्च-गंभीरता SQL इंजेक्शन सुरक्षा दोष यूजर्सWP प्लगइन को संस्करण 1.2.44 तक प्रभावित करता है और इसे 1.2.45 में ठीक किया गया है (CVE-2025-10003)। रिपोर्टों में यह भिन्नता है कि क्या प्रमाणीकरण की आवश्यकता है; एक कम-विशेषाधिकार प्रमाणित खाता (सदस्य) या यहां तक कि अप्रमाणित इनपुट कमजोर SQL पथों तक पहुंच सकता है। शोषण से डेटाबेस की सामग्री को उजागर या संशोधित किया जा सकता है, जिससे डेटा चोरी, विशेषाधिकार वृद्धि, या पूर्ण साइट समझौता हो सकता है।.

TL;DR — तत्काल कार्रवाई

  1. तुरंत यूजर्सWP को संस्करण 1.2.45 या बाद में अपडेट करें — यह अंतिम समाधान है।.
  2. यदि आप अभी अपडेट नहीं कर सकते:
    • अस्थायी रूप से यूजर्सWP प्लगइन को निष्क्रिय करें।.
    • यूजर्सWP फ्रंट-एंड एंडपॉइंट्स और फॉर्म्स तक पहुंच को ब्लॉक या प्रतिबंधित करें (रेट-सीमा, CAPTCHA या प्रशासक अनुमोदन की आवश्यकता)।.
    • यदि आपकी साइट सार्वजनिक साइनअप की अनुमति देती है तो नए पंजीकरण को रोकें और मौजूदा उपयोगकर्ता गतिविधि की निकटता से निगरानी करें।.
  3. संदिग्ध क्वेरी, नए प्रशासक उपयोगकर्ताओं, या अप्रत्याशित परिवर्तनों के लिए लॉग और डेटाबेस का ऑडिट करें।.
  4. यदि आपको समझौता होने का संदेह है तो नीचे दिए गए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

यदि आप कई वर्डप्रेस साइटों का प्रबंधन करते हैं या क्लाइंट साइटों की मेज़बानी करते हैं, तो अपडेट होने तक यूजर्सWP चलाने वाले प्रत्येक उदाहरण को जोखिम में मानें।.

सुरक्षा दोष का अवलोकन (तकनीकी, बिना शोषण कोड के)

  • प्रभावित घटक: यूजर्सWP वर्डप्रेस प्लगइन (फ्रंट-एंड लॉगिन/पंजीकरण/प्रोफ़ाइल/सदस्य निर्देशिका)।.
  • प्रभावित संस्करण: <= 1.2.44
  • में ठीक किया गया: 1.2.45
  • CVE: CVE-2025-10003
  • सुरक्षा दोष वर्ग: SQL इंजेक्शन (OWASP A1 / इंजेक्शन)
  • रिपोर्ट की गई प्रभाव: उच्च; CVSS 9.3 (उच्च)
  • हमलावर की पूर्वापेक्षाएँ: कई रिपोर्टें एक निम्न-privilege प्रमाणित उपयोगकर्ता (सदस्य) का संकेत देती हैं। विरोधाभासी सार्वजनिक रिपोर्टों को देखते हुए, मान लें कि या तो अप्रमाणित या निम्न-privilege प्रमाणन पर्याप्त हो सकता है - इसे गंभीर मानें।.

क्या हुआ (उच्च स्तर)

प्लगइन ने फ्रंट-एंड फॉर्म (लॉगिन, पंजीकरण, प्रोफ़ाइल अपडेट, या सदस्यों की निर्देशिका फ़िल्टर) से अस्वच्छ या अपर्याप्त रूप से पैरामीटर किए गए इनपुट को स्वीकार किया। उपयोगकर्ता इनपुट को SQL क्वेरी में जोड़ा गया था बजाय इसके कि इसे तैयार बयानों में पास किया जाए, जिससे तैयार इनपुट SQL लॉजिक को हेरफेर करने और संरक्षित डेटा को वापस करने या संशोधित करने की अनुमति मिली।.

यह क्यों महत्वपूर्ण है

वर्डप्रेस साइटें अक्सर ई-मेल पते, हैश किए गए पासवर्ड, एपीआई टोकन, ईकॉमर्स और कस्टम डेटा संग्रहीत करती हैं। एक SQL इंजेक्शन जो मनमाने डेटाबेस फ़ील्ड को उजागर करता है, हमलावरों को डेटा को सूचीबद्ध, निकालने या बदलने की अनुमति देता है - जिससे खाता अधिग्रहण, डेटा लीक और संभावित साइट-व्यापी समझौता होता है।.

यथार्थवादी हमले के परिदृश्य

  • डेटा एक्सफिल्ट्रेशन: ईमेल, पासवर्ड हैश, टोकन या निजी मेटाडेटा प्राप्त करने के लिए मनमाने कॉलम (wp_users, wp_usermeta) को पढ़ें।.
  • खाता अधिग्रहण: ऑफ़लाइन क्रैकिंग के लिए पासवर्ड हैश पढ़ें या सीधे DB लेखन के माध्यम से भूमिकाएँ संशोधित करें/व्यवस्थापक खाते बनाएं।.
  • पार्श्व आंदोलन और स्थिरता: बैकडोर, दुर्भावनापूर्ण विकल्प डालें, या कार्य निर्धारित करें; DB-प्रेरित तंत्र के माध्यम से व्यवहार को संशोधित करें।.
  • सामूहिक शोषण: UsersWP सामान्य फ्रंट-एंड एंडपॉइंट्स को उजागर करता है, जिससे स्वचालित स्कैनर कमजोर संस्करणों को बड़े पैमाने पर सूचीबद्ध और शोषण कर सकते हैं।.

विरोधाभासी रिपोर्ट: प्रमाणित बनाम अप्रमाणित

सार्वजनिक जानकारी असंगत है। कुछ रिपोर्टें संकेत देती हैं कि एक सदस्य खाता आवश्यक है; अन्य अप्रमाणित सूचीबद्ध करते हैं। जब तक आपके वातावरण के लिए पुष्टि नहीं हो जाती, तब तक मान लें कि न्यूनतम या कोई प्रमाणीकरण पर्याप्त हो सकता है। निम्न-privilege उपयोगकर्ताओं से किसी भी इनपुट को संभावित रूप से खतरनाक मानें।.

समझौते के संकेत (IoCs) और पहचान मार्गदर्शन

प्रारंभिक पहचान प्रभाव को सीमित कर सकती है। देखें:

  1. असामान्य डेटाबेस क्वेरी या त्रुटियाँ
    • धीमी क्वेरी, टाइमआउट, या MySQL सिंटैक्स त्रुटियों में वृद्धि।.
    • पैरामीटर में SQL कीवर्ड (UNION, SELECT, /**/ टिप्पणियाँ) वाली क्वेरी।.
  2. अप्रत्याशित साइट व्यवहार
    • नए व्यवस्थापक उपयोगकर्ता या ऊंचे खाते जिन्हें आपने नहीं बनाया।.
    • सामूहिक पासवर्ड रीसेट ईमेल या असामान्य लॉगिन प्रयास।.
    • अजीब सामग्री, विकल्प परिवर्तन या व्यवस्थापक में अपरिचित प्लगइन प्रविष्टियाँ।.
  3. वेब सर्वर लॉग
    • संदिग्ध पेलोड के साथ UsersWP एंडपॉइंट्स पर POST अनुरोध।.
    • SQL कीवर्ड, असामान्य एन्कोडिंग या लंबे पेलोड वाले पैरामीटर।.
  4. फ़ाइल प्रणाली विसंगतियाँ
    • अपलोड में नए PHP फ़ाइलें, संशोधित प्लगइन/थीम फ़ाइलें, अप्रत्याशित टाइमस्टैम्प।.
  5. संदिग्ध उपयोगकर्ता गतिविधि
    • प्रोफ़ाइल/सदस्य एंडपॉइंट्स के खिलाफ कई अनुरोध करने वाले IP पते; डेटा सेंटर रेंज, TOR निकासी नोड या असामान्य भू-स्थान के लिए देखें।.

कहाँ जांचें:

  • वेब सर्वर एक्सेस और त्रुटि लॉग (nginx/apache)।.
  • वर्डप्रेस डिबग लॉग (यदि सक्षम हो) और प्लगइन डिबग आउटपुट।.
  • डेटाबेस सामान्य/धीमी क्वेरी लॉग (यदि उपलब्ध हो)।.
  • होस्टिंग लॉग और कोई भी परिधीय लॉग जो आप एकत्र करते हैं।.

तात्कालिक शमन कदम (प्राथमिकता के अनुसार)

  1. प्लगइन को 1.2.45 या बाद के संस्करण में अपडेट करें — पैच

    यह एकमात्र सुनिश्चित कोड सुधार है। सभी उदाहरणों को तुरंत अपडेट करें। यदि आवश्यक हो तो रखरखाव विंडो के दौरान कई साइटों पर सामूहिक अपडेट का समन्वय करें।.

  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो एक या अधिक करें:
    • जब तक आप पैच लागू नहीं कर सकते, UsersWP प्लगइन को अक्षम करें।.
    • नए उपयोगकर्ता पंजीकरण को अक्षम करें और फ्रंट-एंड फ़ॉर्म को प्रतिबंधित करें (सेटिंग्स > सामान्य में पंजीकरण को “बंद” पर सेट करें)।.
    • अस्थायी रूप से नए खातों के लिए प्रशासनिक अनुमोदन की आवश्यकता करें।.
  3. आभासी पैचिंग (WAF) नियम लागू करें

    यदि आप एक वेब एप्लिकेशन फ़ायरवॉल या रिवर्स प्रॉक्सी संचालित करते हैं, तो UsersWP फ़ॉर्म एंडपॉइंट्स और पैरामीटर के खिलाफ SQLi प्रयासों को रोकने के लिए केंद्रित नियम लागू करें। नीचे पैटर्न मार्गदर्शन देखें।.

  4. खातों को लॉक करें और कुंजी घुमाएँ
    • प्रशासकों और अन्य विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए पासवर्ड को मजबूरन रीसेट करें।.
    • यदि आप डेटा निकासी का संदेह करते हैं तो API कुंजी और डेटाबेस क्रेडेंशियल्स को घुमाएँ।.
    • यदि सत्र टोकन से समझौता किया जा सकता है तो WordPress सॉल्ट (AUTH_SALT, आदि) को घुमाने पर विचार करें।.
  5. निगरानी और जांच करें
    • पहुँच और त्रुटियों के विस्तृत लॉग बनाए रखें।.
    • ऊपर उल्लिखित शोषण संकेतकों की खोज करें और यदि आप समझौते के संकेत पाते हैं तो इसे बढ़ाएँ।.

WAF / वर्चुअल पैचिंग सिफारिशें (पैटर्न मार्गदर्शन - सुरक्षित, गैर-शोषण)

जब आप सभी वातावरणों में अपडेट नहीं कर सकते, तो किनारे पर वर्चुअल पैचिंग जोखिम को कम कर सकती है। वैध ट्रैफ़िक को तोड़ने से बचने के लिए नियमों को संकीर्ण रखें।.

प्रमुख सिद्धांत

  • उन पैरामीटर में SQL कीवर्ड या मेटा-चरित्र वाले अनुरोधों को ब्लॉक करें जहाँ उन्हें नहीं होना चाहिए।.
  • गलत सकारात्मकता को कम करने के लिए नियमों को UsersWP-विशिष्ट एंडपॉइंट्स और पैरामीटर नामों तक सीमित करें।.
  • फ्रंट-एंड फॉर्म सबमिशन और पंजीकरण एंडपॉइंट्स पर दर-सीमा लगाएँ।.
  • उचित होने पर सीधे ब्लॉक करने के बजाय संदिग्ध ट्रैफ़िक को चुनौती दें (CAPTCHA/बॉट-चुनौती)।.

उदाहरण नियम लॉजिक (उच्च-स्तरीय)

UsersWP फ्रंट-एंड एंडपॉइंट्स (लॉगिन, पंजीकरण, प्रोफ़ाइल, सदस्यों की निर्देशिका) पर निम्नलिखित निरीक्षण पैटर्न लागू करें:

  • ज्ञात UsersWP एंडपॉइंट्स के लिए अनुरोध पथ से मेल खाएँ।.
  • SQL नियंत्रण शब्दों के लिए POST और GET पैरामीटर की जांच करें जो संदर्भ से बाहर हैं: UNION, SELECT, INSERT, UPDATE, DELETE, DROP, INFORMATION_SCHEMA।.
  • संदिग्ध वर्णों या एन्कोडिंग का पता लगाएँ: SQL टोकनों के बाद अनएस्केप किए गए उद्धरण, टिप्पणी टोकन (/*, -), SQL मार्करों वाले लंबे पैरामीटर मान।.
  • एकल IP से बार-बार सबमिशन पर दर-सीमा लगाएँ और उच्च मात्रा वाले स्कैनरों को ब्लॉक करें।.

महत्वपूर्ण: व्यापक ब्लॉकिंग से बचें जो वैध खोज प्रश्नों या नामों में हस्तक्षेप करेगा; एंडपॉइंट-विशिष्ट पैरामीटर और पैटर्न पर ध्यान केंद्रित करें।.

घटना प्रतिक्रिया: यदि आपको सफल शोषण का संदेह है

यदि सबूत शोषण का संकेत देते हैं, तो साइट को साफ होने तक समझौता किया हुआ मानें। इन चरणों का पालन करें:

1. सीमित करें

  • साइट को ऑफ़लाइन करें या रखरखाव मोड में रखें।.
  • UsersWP प्लगइन को अक्षम करें।.
  • उन क्रेडेंशियल्स को रद्द करें या रीसेट करें जो समझौता किए जा सकते हैं (व्यवस्थापक खाते, एपीआई कुंजी)।.

2. सबूत सुरक्षित करें

  • फोरेंसिक विश्लेषण के लिए लॉग (वेब सर्वर, एप्लिकेशन, डेटाबेस) को एक सुरक्षित, अपरिवर्तनीय स्टोर में निर्यात करें।.
  • फ़ाइलों + डेटाबेस का एक पूर्ण स्नैपशॉट बनाएं और इसे सुरक्षित रखें।.

3. समाप्त करें

  • बैकडोर और दुर्भावनापूर्ण फ़ाइलें हटा दें - ज्ञात-अच्छे बैकअप से फ़ाइलों को पुनर्स्थापित करना पसंद करें।.
  • जहां संभव हो, पूर्व-समझौता बैकअप से डेटाबेस को साफ़ या पुनर्स्थापित करें।.
  • वर्डप्रेस कोर, प्लगइन्स और थीम को नवीनतम स्थिर संस्करणों में अपडेट करें।.

4. पुनर्प्राप्त करें

  • यदि डेटाबेस की अखंडता की गारंटी नहीं दी जा सकती है, तो सत्यापित साफ़ बैकअप से पुनर्स्थापित करें।.
  • साइट उपयोगकर्ताओं के लिए सभी पासवर्ड बदलें और DB क्रेडेंशियल्स को घुमाएं।.
  • डेटाबेस में संग्रहीत किसी भी PKI या API क्रेडेंशियल्स को फिर से जारी करें।.

5. घटना के बाद

  • गहरे ऑडिट का प्रदर्शन करें: अनुसूचित कार्य, अनधिकृत प्लगइन्स/थीम, बदले हुए फ़ाइल अनुमतियाँ।.
  • कई हफ्तों तक पुनरावृत्ति की निगरानी करें।.
  • यदि डेटा निकासी हुई है तो प्रभावित उपयोगकर्ताओं को सूचित करें और सुधार मार्गदर्शन प्रदान करें।.

यदि आप पुनर्प्राप्ति के बारे में अनिश्चित हैं या साइट संवेदनशील डेटा होस्ट करती है, तो वर्डप्रेस उल्लंघनों में अनुभवी एक पेशेवर घटना प्रतिक्रिया टीम को संलग्न करें।.

ये व्यावहारिक, उच्च-प्रभाव वाले नियंत्रण साइटों में जोखिम को कम करते हैं।.

  1. सब कुछ अपडेट रखें: कोर, प्लगइन्स और थीम पर सुरक्षा अपडेट तुरंत लागू करें।.
  2. न्यूनतम विशेषाधिकार का सिद्धांत: उपयोगकर्ता भूमिकाओं को सीमित करें और आवश्यक होने पर ही उच्चाधिकार प्रदान करें।.
  3. पंजीकरण और फॉर्म को सुरक्षित करें: CAPTCHA का उपयोग करें, दर-सीमा निर्धारित करें और संवेदनशील फॉर्म के लिए प्रमाणीकरण की आवश्यकता पर विचार करें।.
  4. एक वेब एप्लिकेशन फ़ायरवॉल का उपयोग करें: परिधीय सुरक्षा जो वर्डप्रेस को समझती है सामान्य शोषण पैटर्न को रोक सकती है।.
  5. पैरामीटरयुक्त प्रश्नों को लागू करें: डेवलपर्स को SQL में इनपुट को जोड़ने के बजाय तैयार किए गए बयानों (wpdb->prepare) का उपयोग करना चाहिए।.
  6. इनपुट मान्यता और स्वच्छता: प्रकारों और लंबाई की पुष्टि करें; जहां उपयुक्त हो, वर्डप्रेस स्वच्छता का उपयोग करें।.
  7. सुरक्षित कॉन्फ़िगरेशन: व्यवस्थापक में फ़ाइल संपादन को निष्क्रिय करें (define(‘DISALLOW_FILE_EDIT’, true)); प्रतिबंधात्मक DB उपयोगकर्ता विशेषाधिकार का उपयोग करें; बैकअप को ऑफ़लाइन और पहुँच-नियंत्रित रखें।.
  8. लॉगिंग और निगरानी: वेब सर्वर, एप्लिकेशन और DB लॉग को सक्षम और बनाए रखें; संदिग्ध गतिविधियों पर अलर्ट करें (नए व्यवस्थापक उपयोगकर्ता, सामूहिक असफल लॉगिन)।.

डेवलपर मार्गदर्शन (जड़ कारण को कैसे ठीक करें)

SQL प्रश्नों में इनपुट के उपयोग की समीक्षा करके प्लगइन या कस्टम कोड बनाए रखें। सामान्य सुधारों में शामिल हैं:

  • तैयार किए गए बयानों का उपयोग करें 
    /* गलत */;
  • सख्त टाइपिंग और मान्यता लागू करें: संख्यात्मक मानों को कास्ट करें, रेंज की जांच करें और अपेक्षित मानों के लिए व्हाइटलिस्ट का उपयोग करें।.
  • पहचानकर्ताओं के लिए उपयोगकर्ता इनपुट से बचें: उपयोगकर्ता इनपुट से तालिका या कॉलम नाम न बनाएं; यदि आवश्यक हो, तो सख्त व्हाइटलिस्ट के खिलाफ मान्यता करें।.
  • एस्केप और सीमाएँ: एस्केपिंग एक बैकअप है, पैरामीटराइजेशन का विकल्प नहीं। केवल शाब्दिक एस्केपिंग के लिए esc_sql का उपयोग करें जो पैरामीटराइजेशन के साथ मिलकर हो।.
  • सुरक्षा परीक्षण: इनपुट हैंडलिंग के लिए यूनिट परीक्षण जोड़ें, स्थैतिक विश्लेषण का उपयोग करें और CI में फज़िंग/पेलोड परीक्षण शामिल करें।.

रिकवरी चेकलिस्ट (त्वरित संदर्भ)

  • UsersWP को 1.2.45 या बाद के संस्करण में अपडेट करें।.
  • यदि अपडेट तुरंत संभव नहीं है तो UsersWP को अक्षम करें।.
  • व्यवस्थापक पासवर्ड और संवेदनशील कुंजियों को घुमाएँ।.
  • संदिग्ध खातों के लिए wp_users और wp_usermeta का ऑडिट करें।.
  • फोरेंसिक समीक्षा के लिए लॉग्स को निर्यात और सहेजें।.
  • हाल ही में संशोधित/अज्ञात PHP फ़ाइलों के लिए फ़ाइल सिस्टम को स्कैन करें।.
  • यदि डेटाबेस की अखंडता संदिग्ध है तो एक साफ बैकअप से पुनर्स्थापित करें।.
  • UsersWP एंडपॉइंट्स पर SQLi पैटर्न को ब्लॉक करने के लिए लक्षित वर्चुअल पैचिंग लागू करें।.
  • उपयोगकर्ता पंजीकरण और फ्रंट-एंड फॉर्म एक्सपोजर का पुनर्मूल्यांकन करें।.

सामान्य प्रश्न — त्वरित उत्तर

प्रश्न: क्या एक हमलावर इस कमजोरी का उपयोग करके मेरी साइट पर नियंत्रण कर सकता है?
उत्तर: हाँ। सफल SQL इंजेक्शन डेटा चोरी, खाता अधिग्रहण और स्थायी बैकडोर का कारण बन सकता है। इसे उच्च प्राथमिकता के साथ संभालें।.
प्रश्न: क्या कोई आधिकारिक पैच है?
A: हाँ - UsersWP 1.2.45 में सुधार शामिल है। अभी अपडेट करें।.
Q: क्या मैं एक प्लगइन मैलवेयर स्कैनर पर भरोसा कर सकता हूँ कि वह समझौते की पुष्टि करे?
A: स्कैनर उपयोगी होते हैं लेकिन पर्याप्त नहीं। गंभीर घटनाओं के लिए, सर्वर लॉग, डेटाबेस लॉग और पेशेवर फोरेंसिक विश्लेषण को मिलाएं।.

निष्कर्ष

UsersWP में यह SQL इंजेक्शन फ्रंट-एंड सदस्यता/प्रोफ़ाइल प्रवाह में अस्वच्छ इनपुट द्वारा उत्पन्न खतरे का स्पष्ट उदाहरण है। तत्काल तकनीकी समाधान 1.2.45 पर अपडेट करना है। इसके अलावा, परतदार सुरक्षा लागू करें, आक्रामक रूप से निगरानी करें और भविष्य के जोखिम को कम करने के लिए कॉन्फ़िगरेशन और कोड प्रथाओं को मजबूत करें।.

अपने संपत्ति में UsersWP के सभी उदाहरणों की सूची बनाएं और पैचिंग को प्राथमिकता दें। यदि तुरंत अपडेट करना संभव नहीं है, तो प्लगइन को अक्षम करके, पंजीकरण बंद करके, लक्षित वर्चुअल पैचिंग लागू करके और लॉग को ध्यान से समीक्षा करके जोखिम को नियंत्रित करें।.

सहायता की पेशकश

यदि आप चाहें, तो मैं:

  • UsersWP एंडपॉइंट्स के लिए ModSecurity या सामान्य प्रॉक्सी प्रारूपों में चरण-दर-चरण WAF नियम प्रदान कर सकता हूँ (संरक्षित, कम झूठे सकारात्मक पैटर्न)।.
  • एक प्राथमिकता वाली रोलआउट चेकलिस्ट बनाएं जिसे आप पैच तैनाती के लिए एक टिकटिंग सिस्टम में कॉपी कर सकते हैं।.
  • यदि आप समझौता का पता लगाते हैं तो हितधारकों और उपयोगकर्ताओं के लिए एक आंतरिक सूचना टेम्पलेट तैयार करने में मदद करें।.

सतर्क रहें - तुरंत पैच करें और मान लें कि निम्न-privilege उपयोगकर्ता इनपुट खतरनाक हो सकता है।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

सामुदायिक चेतावनी Rehub थीम शॉर्टकोड भेद्यता (CVE20257366)

अगला लेख —

योगदानकर्ता स्टोर किए गए क्रॉस साइट स्क्रिप्टिंग भेद्यता (CVE20259849)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

सुरक्षा सलाह OSM मैप विजेट स्टोर XSS(CVE20258619)

  • अगस्त 28, 2025
वर्डप्रेस OSM मैप विजेट फॉर एलिमेंटर प्लगइन <= 1.3.0 - प्रमाणित (योगदानकर्ता+) स्टोर क्रॉस-साइट स्क्रिप्टिंग बटन URL भेद्यता के माध्यम से
Wवर्डप्रेस भेद्यता डेटाबेस

GMap वेंटुरिट स्टोर XSS अलर्ट के लिए HK(CVE20258568)

  • अगस्त 11, 2025
वर्डप्रेस GMap - वेंटुरिट प्लगइन <= 1.1 - प्रमाणित (योगदानकर्ता+) स्टोर क्रॉस-साइट स्क्रिप्टिंग 'h' पैरामीटर भेद्यता के माध्यम से