Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह वर्डप्रेस IDonatePro दोष (CVE202530639)

वर्डप्रेस IDonatePro प्लगइन
0
शेयर
0
0
0
0






Urgent: IDonatePro (<= 2.1.9) Broken Access Control (CVE-2025-30639)


प्लगइन का नाम IDonatePro
कमजोरियों का प्रकार एक्सेस नियंत्रण
CVE संख्या CVE-2025-30639
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2025-08-08
स्रोत URL CVE-2025-30639

तत्काल: IDonatePro (≤ 2.1.9) टूटी हुई पहुंच नियंत्रण (CVE-2025-30639) — वर्डप्रेस साइट के मालिकों को अब क्या करना चाहिए

प्रकाशित: 2025-08-10 |  लेखक: हांगकांग सुरक्षा विशेषज्ञ टीम

अपडेट (08 अगस्त 2025): IDonatePro वर्डप्रेस प्लगइन (संस्करण ≤ 2.1.9) में एक उच्च-गंभीरता वाली टूटी हुई पहुंच नियंत्रण भेद्यता को सार्वजनिक रूप से उजागर किया गया है और इसे CVE-2025-30639 के रूप में ट्रैक किया गया है। यह समस्या बिना प्रमाणीकरण वाले हमलावरों को ऐसे कार्य करने की अनुमति देती है जिन्हें अधिकृत होने की आवश्यकता होनी चाहिए। प्रकाशन के समय कोई विक्रेता द्वारा जारी पैच उपलब्ध नहीं है। तत्काल समाधान की आवश्यकता है।.

हांगकांग में वेब प्लेटफॉर्म घटनाओं का जवाब देने के अनुभव के साथ सुरक्षा पेशेवरों के रूप में, हम आपको तत्काल लागू करने के लिए केंद्रित, व्यावहारिक मार्गदर्शन प्रदान करते हैं। यह सलाह जोखिम, प्रभावित व्यक्तियों, हमलावरों द्वारा इसका शोषण कैसे किया जा सकता है, और—महत्वपूर्ण—एक्सपोजर को कम करने के लिए तुरंत क्या करना है, समझाती है। मार्गदर्शन शोषण कोड प्रकाशित करने से बचता है और इसका पालन करना सुरक्षित है।.

कार्यकारी सारांश (जो आपको तुरंत जानने की आवश्यकता है)

  • भेद्यता: IDonatePro (≤ 2.1.9) में टूटी हुई पहुंच नियंत्रण, जिसे CVE-2025-30639 के रूप में ट्रैक किया गया है।.
  • आवश्यक विशेषाधिकार: बिना प्रमाणीकरण — शोषण के लिए लॉगिन की आवश्यकता नहीं है।.
  • गंभीरता: उच्च (रिपोर्ट किया गया CVSS ~7.5)।.
  • आधिकारिक समाधान: प्रकटीकरण के समय उपलब्ध नहीं है।.
  • तत्काल समाधान: यदि संभव हो तो प्लगइन को हटा दें या निष्क्रिय करें; अन्यथा, सर्वर या WAF स्तर पर प्लगइन के एंडपॉइंट्स तक पहुंच को सीमित करें, लॉग की निगरानी करें, और घटना प्रतिक्रिया प्रक्रियाओं को तैयार करें।.
  • यदि आपको समझौता होने का संदेह है, तो बिना देरी के नीचे दिए गए घटना प्रतिक्रिया चरणों का पालन करें।.

सरल भाषा में भेद्यता के बारे में

टूटी हुई पहुंच नियंत्रण का मतलब है कि प्लगइन उचित प्रमाणीकरण जांच के बिना विशेषाधिकार प्राप्त कार्यों की अनुमति देता है। एक शोधकर्ता रिपोर्ट करता है कि IDonatePro में एक एंडपॉइंट या क्रिया प्रमाणीकरण, क्षमता जांच, या नॉनसेस की पुष्टि नहीं करती है। चूंकि यह समस्या लॉगिन के बिना शोषण योग्य है, दूरस्थ हमलावर उन कार्यों को ट्रिगर कर सकते हैं जिन्हें प्रतिबंधित किया जाना चाहिए।.

टूटी हुई पहुंच नियंत्रण विशेष रूप से खतरनाक है: यह सामान्य गेटकीपरों (लॉगिन स्थिति, current_user_can, नॉनसेस) को बायपास करता है। उजागर कार्यों के आधार पर, प्रभाव जानकारी का खुलासा करने से लेकर साइट पर कब्जा करने तक हो सकता है।.

अनुसंधान श्रेय: ट्रान गुयेन बाओ खान्ह (VCI – VNPT साइबर इम्युनिटी)। CVE-2025-30639।.

किसे प्रभावित किया गया है?

  • साइटें जो IDonatePro संस्करण 2.1.9 या उससे पहले चला रही हैं।.
  • प्लगइन स्थापित साइटें लेकिन सक्रिय रूप से उपयोग नहीं की गईं - कमजोर कोड की उपस्थिति जोखिम के लिए पर्याप्त है।.
  • मल्टीसाइट नेटवर्क जहां IDonatePro किसी भी नेटवर्क साइट पर सक्रिय है (हमले की सतह इस बात पर निर्भर करती है कि प्लगइन कैसे एंडपॉइंट्स को पंजीकृत करता है)।.

यह क्यों तत्काल है

  • शोषण के लिए कोई प्रमाणीकरण की आवश्यकता नहीं है।.
  • अभी तक कोई विक्रेता पैच मौजूद नहीं है - जोखिम तब तक बना रहता है जब तक कि इसे ठीक या कम नहीं किया जाता।.
  • स्वचालित करना सरल है - एक बार प्रमाण-कोड या स्कैनर दिखाई देने पर सामूहिक शोषण की संभावना है।.
  • उच्च CVSS प्रभाव और शोषणशीलता दोनों को दर्शाता है।.

हमलावर क्या कर सकते हैं (संभावित प्रभाव)

सटीक प्रभाव इस बात पर निर्भर करता है कि कौन सी कार्यक्षमताएँ बिना जांच के पहुंच योग्य हैं। टूटे हुए पहुंच नियंत्रण के सामान्य परिणामों में शामिल हैं:

  • दूरस्थ रूप से विशेषाधिकार प्राप्त प्लगइन क्रियाएँ ट्रिगर करना (प्लगइन विकल्प बदलना, प्लगइन-प्रबंधित सामग्री बनाना या हटाना)।.
  • यदि फ़ाइल-हैंडलिंग एंडपॉइंट्स उजागर हैं तो फ़ाइलें अपलोड या संशोधित करना।.
  • दुर्भावनापूर्ण कॉन्फ़िगरेशन या रीडायरेक्ट नियम डालना।.
  • संवेदनशील प्लगइन कॉन्फ़िगरेशन को उजागर करना (API कुंजी, वेबहुक URL, रहस्य)।.
  • ऐसे कार्य करना जो खाता अधिग्रहण या श्रृंखलाबद्ध हमलों में मनमाने कोड निष्पादन को सुविधाजनक बनाते हैं।.

तात्कालिक क्रियाएँ (प्राथमिकता क्रम)

इन चरणों का पालन करें। पहले वाले जोखिम को कम करने के लिए सबसे तेज़ हैं।.

  1. सूची बनाना और पहचानना

    • पुष्टि करें कि कौन सी साइटों पर IDonatePro स्थापित है और कौन सा संस्करण सक्रिय है।.
    • यदि आप प्रबंधित होस्टिंग का उपयोग करते हैं, तो अपने प्रदाता से उस प्लगइन को शामिल करने वाली इंस्टॉलेशन की सूची मांगें।.
  2. प्लगइन को निष्क्रिय या हटा दें (सिफारिश की गई)

    • यदि प्लगइन आवश्यक नहीं है, तो इसे निष्क्रिय करें और प्रभावित साइटों से हटा दें।.
    • यदि आपको कार्यक्षमता बनाए रखनी है, तो एक अस्थायी, न्यूनतम कस्टम कार्यान्वयन या एक परीक्षण किया गया विकल्प पर विचार करें।.
  3. सर्वर या एप्लिकेशन एज पर पहुंच प्रतिबंध लागू करें

    • यदि आप तुरंत प्लगइन को हटा नहीं सकते हैं, तो सर्वर नियमों या WAF का उपयोग करके अनधिकृत उपयोगकर्ताओं के लिए प्लगइन एंडपॉइंट्स पर अनुरोधों को ब्लॉक या प्रतिबंधित करें।.
    • प्लगइन फ़ाइलों और प्रशासनिक एंडपॉइंट्स तक पहुंच को प्रतिबंधित करें जो सार्वजनिक नहीं होने चाहिए।.
  4. प्लगइन अंत बिंदुओं तक पहुँच को प्रतिबंधित करें

    • IP द्वारा पहुंच को सीमित करने, विशिष्ट URLs के लिए प्रमाणीकरण की आवश्यकता, या खतरनाक अनुरोध विधियों को ब्लॉक करने के लिए nginx/Apache नियम, IAM, या सुरक्षा प्लगइन नियमों का उपयोग करें।.
  5. स्कैन और निगरानी करें

    • एक पूर्ण साइट मैलवेयर स्कैन चलाएं और उपलब्ध होने पर फ़ाइल हैश की तुलना ज्ञात-अच्छे प्रतियों से करें।.
    • अज्ञात IPs से असामान्य POSTs, प्रशासन-ajax हिट्स, या प्लगइन पथों के लिए वेब सर्वर और एप्लिकेशन लॉग की निगरानी करें।.
  6. क्रेडेंशियल और रहस्यों को बदलें (यदि समझौता होने का संदेह हो)

    • व्यवस्थापक पासवर्ड और प्लगइन सेटिंग्स में संग्रहीत किसी भी API कुंजी या रहस्यों को घुमाएं।.
    • सभी उपयोगकर्ताओं के लिए लॉगआउट मजबूर करें और सत्रों को रीसेट करें।.
  7. घटना प्रतिक्रिया के लिए तैयार रहें

    • यदि आप समझौता संकेतक का पता लगाते हैं, तो प्रभावित साइटों को अलग करें और संकुचन और पुनर्प्राप्ति प्रक्रियाओं का पालन करें (नीचे विस्तृत)।.

फ़ायरवॉल नियमों का उपयोग करके कैसे कम करें (वर्चुअल पैचिंग)

जब एक आधिकारिक पैच उपलब्ध नहीं है, तो एज पर शोषण प्रयासों को ब्लॉक करना जोखिम को कम करने का सबसे तेज़ तरीका है। इन रक्षात्मक अवधारणाओं को अपने WAF, CDN नियमों, या सर्वर कॉन्फ़िगरेशन में अनुवाद करें। ये नियम हमले की सतह को कम करने पर ध्यान केंद्रित करते हैं और शोषण पेलोड को प्रकाशित करने से बचते हैं।.

प्रमुख अवधारणाएँ:

  1. प्लगइन प्रशासन क्रियाओं और AJAX एंडपॉइंट्स के लिए अनधिकृत अनुरोधों को ब्लॉक करें

    पैटर्न: यदि अनुरोध में WordPress लॉग इन कुकी या मान्य नॉनस की कमी है तो प्लगइन PHP फ़ाइलों या AJAX क्रियाओं के लिए अनुरोधों को अस्वीकार करें।.

    यदि request.path /wp-content/plugins/idonatepro/.*\.php से मेल खाता है
  2. स्थिति-परिवर्तन करने वाले अनुरोधों के लिए नॉनस/token की आवश्यकता है

    पैटर्न: डेटा बदलने वाले POSTs के लिए WP नॉनस की उपस्थिति और वैधता को लागू करें।.

    यदि request.method == POST
  3. दर रेखा सीमा और फिंगरप्रिंट जांच

    पैटर्न: एकल IP या उपयोगकर्ता एजेंट से प्लगइन एंडपॉइंट्स को लक्षित करने वाले थ्रॉटल बर्स्ट।.

    यदि > X अनुरोध /wp-content/plugins/idonatepro/ पर समान IP से Y सेकंड के भीतर
  4. संदिग्ध उपयोगकर्ता एजेंट और पेलोड विशेषताओं को ब्लॉक करें

    पैटर्न: सामान्य स्कैनर हस्ताक्षरों, असामान्य हेडर, या संदिग्ध पैरामीटर नामों को शामिल करने वाले अनुरोधों को अस्वीकार करें।.

  5. व्यवस्थापक IPs द्वारा पहुंच को प्रतिबंधित करें (जहां संभव हो)

    उदाहरण nginx स्निपेट (अपने प्रबंधन IP रेंज के साथ बदलें):

    स्थान ~* /wp-content/plugins/idonatepro/ {

चेतावनी: हमेशा सर्वर और WAF नियमों का परीक्षण पहले एक स्टेजिंग वातावरण में करें ताकि वैध ट्रैफ़िक को ब्लॉक करने से बचा जा सके।.

पहचान: अपने लॉग में क्या देखना है

  • /wp-content/plugins/idonatepro/ के तहत फ़ाइलों के लिए या admin-ajax.php पर प्लगइन को संदर्भित करने वाले पैरामीटर के साथ POST अनुरोध।.
  • अनजान IPs से अप्रत्याशित क्रियाओं को लक्षित करने वाले अनुरोध (उदाहरण के लिए, ?action=idonate_pro_update)।.
  • प्रशासन-समान एंडपॉइंट्स तक पहुंचते समय wordpress_logged_in_* कुकीज़ को छोड़ने वाले अनुरोध।.
  • प्लगइन पथों के चारों ओर 404/403 के स्पाइक्स, या असामान्य उपयोगकर्ता-एजेंट स्ट्रिंग्स।.
  • नए या संशोधित प्लगइन फ़ाइलें, जोड़े गए बैकडोर, अपरिचित व्यवस्थापक उपयोगकर्ता, या अप्रत्याशित डेटाबेस प्रविष्टियाँ।.

यदि आपको संदेह है कि आपकी साइट से समझौता किया गया है

तुरंत कार्रवाई करें और एक संवेदनशील संकुचन दृष्टिकोण का पालन करें:

  1. साइट को रखरखाव मोड में डालें या इसे सार्वजनिक ट्रैफ़िक से अलग करें।.
  2. फोरेंसिक विश्लेषण के लिए फ़ाइलों और डेटाबेस का पूर्ण ऑफ़लाइन बैकअप लें।.
  3. सभी व्यवस्थापक पासवर्ड, API कुंजी, और प्रमाणपत्रों को घुमाएँ; उपयोगकर्ताओं के लिए पुनः प्रमाणीकरण को मजबूर करें।.
  4. मैलवेयर और समझौते के संकेतों के लिए स्कैन करें:
    • अपलोड या प्लगइन निर्देशिकाओं में नए PHP फ़ाइलों की खोज करें।.
    • संशोधित कोर फ़ाइलों, अज्ञात क्रोन कार्यों और संदिग्ध अनुसूचित कार्यों की जांच करें।.
    • wp_options में दुर्भावनापूर्ण प्रविष्टियों (रीडायरेक्ट, अस्पष्ट कोड) की जांच करें।.
  5. कमजोर प्लगइन और किसी भी स्पष्ट रूप से दुर्भावनापूर्ण कलाकृतियों को हटा दें।.
  6. यदि आप पूर्ण सफाई की गारंटी नहीं दे सकते हैं तो एक साफ बैकअप से पुनर्निर्माण करें।.
  7. प्रारंभिक पहुंच वेक्टर को समझने और उसे ठीक करने के लिए मूल कारण विश्लेषण करें।.

समान जोखिमों को कम करने के लिए हार्डनिंग सिफारिशें

  • प्लगइन्स को न्यूनतम करें: केवल सक्रिय रूप से बनाए रखे जाने वाले प्लगइन्स को स्थापित करें जिनके स्पष्ट अपडेट इतिहास हैं।.
  • न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें: उपयोगकर्ताओं को केवल वही क्षमताएँ दें जिनकी उन्हें आवश्यकता है।.
  • वर्डप्रेस कोर, थीम और प्लगइन्स को अपडेट रखें; कमजोरियों की चेतावनियों की सदस्यता लें।.
  • आभासी पैचिंग और विसंगति पहचान प्रदान करने के लिए एक अच्छी तरह से कॉन्फ़िगर की गई WAF/CDN नियम सेट का उपयोग करें।.
  • मजबूत प्रमाणीकरण को लागू करें: प्रशासनिक खातों के लिए बहु-कारक प्रमाणीकरण सक्षम करें।.
  • फ़ाइल अनुमतियों को मजबूत करें: जहां संभव हो wp-content/uploads में सीधे PHP निष्पादन को अक्षम करें।.
  • डेवलपर्स के लिए: हमेशा current_user_can को मान्य करें, verify_wp_nonce को सत्यापित करें, इनपुट को साफ करें, और REST रूट पर अनुमति कॉलबैक का उपयोग करें।.
  • अप्रत्याशित परिवर्तनों के लिए नियमित रूप से एक्सेस लॉग और क्रोन कार्यों का ऑडिट करें।.

प्लगइन डेवलपर्स के लिए सलाह (यह कैसे ठीक किया जाना चाहिए)

यदि आप IDonatePro या समान प्लगइन्स का रखरखाव करते हैं, तो आपातकालीन पैच को प्राथमिकता दें। मुख्य कदम:

  1. सभी सार्वजनिक एंडपॉइंट और क्रिया हैंडलर्स (admin-ajax हुक, REST रूट, सीधे PHP फ़ाइलें) की गणना करें।.
  2. प्रत्येक क्रिया के लिए जो स्थिति को संशोधित करती है या डेटा को उजागर करती है:
    • उचित क्षमता जांच सुनिश्चित करें (current_user_can)।.
    • जहां लागू हो नॉन्स की पुष्टि करें (wp_verify_nonce)।.
    • REST एंडपॉइंट्स के लिए, अनुमतियों को लागू करने के लिए permission_callback का उपयोग करें।.
  3. प्रशासनिक कार्यों के लिए बिना प्रमाणीकरण वाले अनुरोधों को स्वीकार करने से बचें; किसी भी गुमनाम इंटरैक्शन के लिए सुरक्षित प्रवाह डिजाइन करें।.
  4. सभी इनपुट को साफ और मान्य करें।.
  5. शमन कदमों के साथ एक सुरक्षा सलाह प्रकाशित करें और उपयोगकर्ताओं के लिए एक अपडेट पथ प्रदान करें।.

समयरेखा और प्रकटीकरण (सार्वजनिक तथ्य)

  • शोधकर्ता: ट्रान गुयेन बाओ खान्ह (VCI – VNPT साइबर इम्युनिटी)
  • रिपोर्ट की गई: जून 2025 की शुरुआत
  • सार्वजनिक प्रकटीकरण/अलर्ट: अगस्त 2025
  • CVE: CVE-2025-30639
  • फिक्स्ड संस्करण: लेखन के समय उपलब्ध नहीं

उद्यम और प्रबंधित होस्टिंग चेकलिस्ट (एजेंसियों और होस्ट के लिए)

  • सभी क्लाइंट साइट्स पर तुरंत शमन पहचाने और लागू करें (हटाएं या वर्चुअल-पैच करें)।.
  • IDonatePro की उपस्थिति के लिए सामूहिक स्कैन करें और प्रभावित ग्राहकों को स्पष्ट सुधारात्मक कदमों के साथ सूचित करें।.
  • यदि आप एज सुरक्षा का संचालन करते हैं, तो प्लगइन एंडपॉइंट्स तक बिना प्रमाणीकरण वाले पहुंच को ब्लॉक करने के लिए नियम लागू करें।.
  • उच्च जोखिम संकेतों या समझौते के संकेतों वाले ग्राहकों को घटना प्रतिक्रिया प्रदान करें।.
  • ग्राहकों को सुधारात्मक समयरेखा और घटना के बाद की सत्यापन प्रदान करें।.

यहाँ वर्चुअल पैचिंग क्यों महत्वपूर्ण है

जब आधिकारिक विक्रेता पैच उपलब्ध नहीं होता है, तो एज पर शोषण प्रयासों को ब्लॉक करना (WAF/CDN/सर्वर नियम) सबसे व्यावहारिक तात्कालिक नियंत्रण है। वर्चुअल पैचिंग कर सकता है:

  • जोखिम भरे प्लगइन एंडपॉइंट्स तक बिना प्रमाणीकरण वाले पहुंच को ब्लॉक करें।.
  • स्कैनिंग और शोषण प्रयासों को धीमा करें।.
  • संदिग्ध गतिविधियों के लिए प्रारंभिक चेतावनियाँ प्रदान करें ताकि ऑपरेटर जांच कर सकें।.

उदाहरण: सुरक्षित, गैर-नाशक WAF नियम सेट (संकल्पना)

निम्नलिखित टेम्पलेट उच्च-स्तरीय हैं और इन्हें आपके वातावरण के अनुसार अनुकूलित किया जाना चाहिए। लागू करने से पहले पहचान मोड में परीक्षण करें।.

1) प्लगइन प्रशासन स्क्रिप्ट के लिए सार्वजनिक पहुंच को अवरुद्ध करें:

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: क्या मुझे विक्रेता पैच का इंतजार करना चाहिए?
उत्तर: नहीं। यदि IDonatePro स्थापित है, तो तुरंत कार्रवाई करें: प्लगइन को निष्क्रिय/हटाएँ या एज प्रतिबंध लागू करें। इंतजार करने से स्वचालित हमलों का जोखिम होता है।.

प्रश्न: अगर मैं दान के लिए प्लगइन पर निर्भर हूं तो क्या होगा?
उत्तर: दान प्रबंधन एंडपॉइंट्स तक पहुंच को केवल विश्वसनीय IPs या प्रमाणित उपयोगकर्ताओं तक सीमित करें। एक प्रतिष्ठित भुगतान प्रदाता के साथ एक अस्थायी वैकल्पिक भुगतान फॉर्म पर विचार करें।.

प्रश्न: क्या मैं प्लगइन को रख सकता हूं लेकिन इसे छिपा सकता हूं?
उत्तर: नहीं। अस्पष्टता के माध्यम से सुरक्षा अपर्याप्त है। कमजोर कोड पथों तक पहुंच को हटा दें या अवरुद्ध करें या आभासी पैच लागू करें।.

यदि आपको सहायता की आवश्यकता है

यदि आपको व्यावहारिक सहायता की आवश्यकता है, तो एक प्रतिष्ठित घटना प्रतिक्रिया या प्रबंधित सुरक्षा प्रदाता से संपर्क करें। प्रदाता से पूछने के लिए अच्छे प्रश्न:

  • क्या आप प्रभावित प्लगइन के लिए हमारे साइटों पर पूर्ण सूची और स्कैन कर सकते हैं?
  • क्या आप आभासी-पैचिंग नियम प्रदान करते हैं और क्या आप पहले उन्हें पहचान मोड में परीक्षण कर सकते हैं?
  • क्या आप संदिग्ध समझौतों का फोरेंसिक विश्लेषण कर सकते हैं और containment और recovery में मदद कर सकते हैं?
  • यदि आवश्यक हो तो साक्ष्य को संरक्षित करने और कानून प्रवर्तन का समर्थन करने के लिए आपकी प्रक्रियाएँ क्या हैं?

अंतिम शब्द — प्राथमिकता दी गई चेकलिस्ट (एक-पृष्ठ त्वरित क्रियाएँ)

  1. सभी साइटों की पहचान करें जिनमें IDonatePro (≤ 2.1.9) है।.
  2. यदि गैर-आवश्यक: तुरंत प्लगइन को निष्क्रिय और हटा दें।.
  3. यदि आवश्यक: प्लगइन एंडपॉइंट्स तक पहुंच को सीमित करें (एज नियम या सर्वर ACLs) और जांचों की दर सीमा निर्धारित करें।.
  4. प्लगइन पथों से संबंधित संदिग्ध गतिविधियों के लिए लॉग की निगरानी करें।.
  5. यदि संदिग्ध गतिविधि का पता चलता है तो प्रशासनिक क्रेडेंशियल और एपीआई कुंजी बदलें।.
  6. मैलवेयर और बैकडोर के लिए स्कैन करें; यदि आवश्यक हो तो साफ बैकअप से पुनर्स्थापित करें।.
  7. जैसे ही विक्रेता पैच उपलब्ध होते हैं, उन्हें लागू करें और पहले स्टेजिंग में अपग्रेड की पुष्टि करें।.

हम इस सलाह को अपडेट करेंगे जब विक्रेता पैच जारी किए जाएंगे या आगे तकनीकी विवरण सामने आएंगे। सतर्क रहें और कमजोर प्लगइन वाले किसी भी साइट के लिए containment को प्राथमिकता दें।.

सुरक्षित रहें,
हांगकांग सुरक्षा विशेषज्ञ टीम


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा सलाहकार इवेंटिन ईमेल परिवर्तन (CVE20254796)

अगला लेख —

तत्काल MapSVG वर्डप्रेस SQL इंजेक्शन जोखिम (CVE202554669)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा चेतावनी GenerateBlocks विकल्प एक्सपोजर (CVE202511879)

  • अक्टूबर 25, 2025
WordPress GenerateBlocks प्लगइन <= 2.1.1 - प्रमाणित (योगदानकर्ता+) मनमाने विकल्पों का खुलासा करने में अनुचित प्राधिकरण
Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक सुरक्षा चेतावनी की कुंजी दो कारक भेद्यता (CVE202510293)

  • अक्टूबर 15, 2025
वर्डप्रेस की कुंजी दो कारक प्रमाणीकरण (जैसे क्लेफ) प्लगइन <= 1.2.3 - प्रमाणीकरण (सदस्य+) विशेषाधिकार वृद्धि के माध्यम से खाता अधिग्रहण भेद्यता