Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह XPro Elementor कमजोरियों (CVE202515369)

WordPress Xpro Elementor Addons प्लगइन में टूटी हुई एक्सेस नियंत्रण
0
शेयर
0
0
0
0
प्लगइन का नाम एक्सप्रो एलिमेंटर ऐडऑन्स
कमजोरियों का प्रकार टूटी हुई पहुंच नियंत्रण
CVE संख्या CVE-2025-15369
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-05-20
स्रोत URL CVE-2025-15369

तत्काल: Xpro Elementor Addons (≤ 1.5.0) में टूटी हुई एक्सेस नियंत्रण — वर्डप्रेस साइट के मालिकों को अब क्या करना चाहिए

प्रकाशित: 19 मई 2026
CVE: CVE-2025-15369
गंभीरता: कम (CVSS 5.3) — टूटी हुई एक्सेस नियंत्रण
पैच किया गया: 1.5.1

एक हांगकांग स्थित सुरक्षा विशेषज्ञ के रूप में, मैं बार-बार एक ही मूल कारण देखता हूं: एक विशेषाधिकार प्राप्त क्रिया बिना उचित प्राधिकरण जांच के उजागर होती है। Xpro Elementor Addons की भेद्यता (संस्करण 1.5.0 तक और शामिल) एक स्पष्ट मामला है — एक एंडपॉइंट जिसे प्रतिबंधित किया जाना चाहिए था, ने प्रभावित साइटों पर बिना प्रमाणीकरण वाले अभिनेताओं को टेम्पलेट बनाने की अनुमति दी।.

हालांकि CVSS स्कोर को “कम” के रूप में वर्गीकृत किया गया है, एक्सेस नियंत्रण की कमजोरियों का आमतौर पर बड़े अभियानों में हथियार बनाया जाता है। हमलावर इस दोष को अन्य मुद्दों के साथ जोड़ सकते हैं या प्रभाव को बढ़ाने के लिए सामाजिक इंजीनियरिंग का उपयोग कर सकते हैं। नीचे मैं मुद्दे को स्पष्ट रूप से समझाता हूं, संभावित शोषण परिदृश्यों को रेखांकित करता हूं, तात्कालिक और दीर्घकालिक निवारणों की सूची बनाता हूं, और घटना प्रबंधन के लिए पहचान और फोरेंसिक संकेतों को कवर करता हूं।.

सामग्री की तालिका

  • त्वरित सारांश
  • जोखिम वास्तव में क्या है?
  • “कम” स्कोर के बावजूद आपको क्यों परवाह करनी चाहिए
  • हमलावर इस भेद्यता का कैसे शोषण कर सकते हैं (परिदृश्य)
  • अपनी साइट पर दुरुपयोग का पता कैसे लगाएं
  • तात्कालिक शमन कदम (अभी क्या करना है)
  • सुधार और मजबूत करना (दीर्घकालिक समाधान)
  • अनुशंसित सुरक्षा और नियंत्रण
  • घटना प्रतिक्रिया और पुनर्प्राप्ति चेकलिस्ट
  • फोरेंसिक्स: क्या देखना है (तकनीकी संकेत)
  • सुधार के बाद परीक्षण और मान्यता
  • समापन नोट्स

त्वरित सारांश

  • भेद्यता: Xpro Elementor Addons के माध्यम से बिना प्रमाणीकरण के टेम्पलेट बनाने की अनुमति देने वाला टूटा हुआ एक्सेस नियंत्रण।.
  • प्रभावित संस्करण: सभी प्लगइन संस्करण ≤ 1.5.0।.
  • पैच किया गया: 1.5.1 — जितनी जल्दी हो सके अपडेट करें।.
  • CVE: CVE-2025-15369
  • कमजोर क्रिया के लिए आवश्यक विशेषाधिकार: बिना प्रमाणीकरण (लॉगिन की आवश्यकता नहीं)।.
  • व्यावहारिक प्रभाव: मनमाने टेम्पलेट का निर्माण। टेम्पलेट में दुर्भावनापूर्ण HTML/JS/CSS, बैकडोर, या फ़िशिंग सामग्री हो सकती है और इसका उपयोग एक स्थायी आधार के रूप में किया जा सकता है।.

जोखिम वास्तव में क्या है?

टूटी हुई एक्सेस नियंत्रण का मतलब है कि प्लगइन ने एक फ़ंक्शन या एंडपॉइंट को उजागर किया जो एक विशेषाधिकार प्राप्त क्रिया (टेम्पलेट बनाना) करता है बिना यह सत्यापित किए कि कॉलर अधिकृत है या नहीं। इस मामले में, टेम्पलेट-निर्माण एंडपॉइंट को प्रमाणीकरण, क्षमता जांच, या एक मान्य नॉन्स की आवश्यकता नहीं थी। परिणामस्वरूप, इंटरनेट पर कोई भी जो अनुरोध प्रारूप को जानता था, प्रभावित साइट पर टेम्पलेट बना सकता था।.

यह क्यों खतरनाक है:

  • टेम्पलेट में HTML, JavaScript, CSS और लिंक हो सकते हैं — हमलावर इन्हें ड्राइव-बाय हमलों, छिपे हुए रीडायरेक्ट, या विश्वसनीय फ़िशिंग पृष्ठों के लिए उपयोग कर सकते हैं।.
  • एक टेम्पलेट स्थायी सामग्री प्रदान करता है जो कुछ स्कैनिंग या निगरानी नियंत्रणों को बायपास कर सकता है और आगे के हमलों के लिए एक स्टेजिंग पॉइंट के रूप में कार्य कर सकता है।.
  • यह कमजोरियां तुरंत पूर्ण साइट अधिग्रहण नहीं देती हैं, लेकिन यह हमलावरों के लिए बाधा को कम करती हैं और अन्य कमजोरियों या सामाजिक इंजीनियरिंग के साथ मिलाई जा सकती हैं।.

“कम” स्कोर के बावजूद आपको क्यों परवाह करनी चाहिए

CVSS एक ट्रायज टूल है; वास्तविक दुनिया में प्रभाव संदर्भ पर निर्भर करता है:

  • व्यापक प्लगइन्स जिनमें कम-गंभीर दोष होते हैं, हमलावरों के लिए आकर्षक होते हैं क्योंकि उन्हें बड़े पैमाने पर शोषण किया जा सकता है।.
  • एक टेम्पलेट निर्माण एंडपॉइंट एक विश्वसनीय स्थायी तंत्र है जो फ़िशिंग पृष्ठों या बाहरी स्क्रिप्टों को होस्ट करता है जो आगंतुकों को लक्षित करते हैं।.
  • कुछ टेम्पलेट्स को शॉर्टकोड या टेम्पलेट समावेश के माध्यम से उपयोगकर्ता-फेसिंग पृष्ठों में शामिल किया जा सकता है, जिससे आगंतुकों को प्रदर्शित पृष्ठों में जावास्क्रिप्ट निष्पादन सक्षम होता है।.
  • शोषण के बाद सफाई और जांच में महत्वपूर्ण समय और संसाधनों की खपत होती है, और प्रतिष्ठा या SEO प्रभाव हो सकता है।.

हमलावर इस भेद्यता का कैसे शोषण कर सकते हैं (परिदृश्य)

व्यावहारिक परिदृश्य जिनका उपयोग हमलावर कर सकते हैं (केवल उच्च-स्तरीय विवरण):

  1. स्क्रिप्टेड मास इंजेक्शन

    • हमलावर कमजोर प्लगइन वाले साइटों के लिए स्कैन करते हैं, फिर बड़े पैमाने पर टेम्पलेट-निर्माण एंडपॉइंट पर POST पेलोड भेजते हैं।.
    • पेलोड में HTML/JS शामिल हो सकता है जो छिपे हुए रीडायरेक्टर्स या अदृश्य iframe बनाता है जो हमलावर-नियंत्रित स्क्रिप्ट लोड करता है।.
  2. फ़िशिंग और क्रेडेंशियल संग्रहण

    • हमलावर विश्वसनीय लॉगिन या भुगतान पृष्ठों को टेम्पलेट के रूप में बनाते हैं और प्रत्यक्ष लिंक को बढ़ावा देते हैं या पीड़ितों को आकर्षित करने के लिए खोज अनुक्रमण पर निर्भर करते हैं।.
    • वैध डोमेन होस्टिंग सफल क्रेडेंशियल चोरी की संभावना को बढ़ाती है।.
  3. सप्लाई-चेन पिवट या आगे का संक्रमण

    • टेम्पलेट्स बाहरी स्क्रिप्टों का संदर्भ दे सकते हैं जो अन्य कमजोरियों का शोषण करने, वातावरण की पहचान करने, या अन्य कमजोर एंडपॉइंट्स के माध्यम से फ़ाइल लेखन का प्रयास करते हैं।.
  4. प्रशासकों के खिलाफ सामाजिक इंजीनियरिंग

    • हमलावर प्रशासन-नज़र आने वाले नोटिस या पृष्ठों को सम्मिलित कर सकते हैं जो साइट के मालिकों को फ़ाइल अपलोड करने या “फिक्स” लिंक पर क्लिक करने के लिए प्रेरित करते हैं, जिससे क्रेडेंशियल चोरी या विशेषाधिकार वृद्धि होती है।.

अपनी साइट पर दुरुपयोग का पता कैसे लगाएं

यदि आप शोषण का संदेह करते हैं या सक्रिय रूप से जांचना चाहते हैं, तो निरीक्षण करें:

  1. अप्रत्याशित टेम्पलेट्स या टेम्पलेट-जैसे प्रविष्टियाँ

    • उन Elementor टेम्पलेट्स और आपके थीम के टेम्पलेट लाइब्रेरी की समीक्षा करें जिन आइटम्स को आपने नहीं बनाया — नाम, स्लग और निर्माण समय को चेक करें।.
  2. अपरिचित पोस्ट/पृष्ठ/कस्टम पोस्ट प्रकार

    • अज्ञात उपयोगकर्ताओं या विशेष उपयोगकर्ता आईडी (जैसे, 0 या अतिथि) द्वारा लिखित हाल की पोस्ट के लिए खोजें और अस्पष्ट JavaScript या छिपे हुए iframe की तलाश करें।.
  3. मीडिया लाइब्रेरी में परिवर्तन

    • अप्रत्याशित फ़ाइलों के लिए अपलोड की जांच करें, विशेष रूप से HTML या संदिग्ध फ़ाइल नाम वाली फ़ाइलें।.
  4. असामान्य आउटगोइंग नेटवर्क गतिविधि

    • अपने साइट से बाहरी डोमेन या पृष्ठों के लिए अनुरोधों के लिए सर्वर लॉग की जांच करें जो अपरिचित तृतीय-पक्ष स्क्रिप्ट शामिल करते हैं।.
  5. सर्वर और एक्सेस लॉग

    • प्लगइन एंडपॉइंट्स के लिए POST अनुरोधों और एकल या कई IPs से दोहराए गए या स्क्रिप्टेड अनुरोधों के पैटर्न की खोज करें।.
  6. संदिग्ध अनुसूचित कार्य और उपयोगकर्ता

    • wp_options में क्रोन प्रविष्टियों और उपयोगकर्ताओं की तालिका में अज्ञात व्यवस्थापक खातों या अप्रत्याशित रूप से बदले गए विशेषाधिकारों की जांच करें।.
  7. ब्राउज़र-साइड रिपोर्ट

    • पॉपअप, रीडायरेक्ट, या अप्रत्याशित लॉगिन प्रॉम्प्ट्स की उपयोगकर्ता रिपोर्ट अक्सर साइट-सामग्री में छेड़छाड़ का संकेत देती हैं।.

यदि आप संदिग्ध कलाकृतियाँ पाते हैं, तो सबूत को संरक्षित करें — विनाशकारी परिवर्तनों को करने से पहले लॉग और फ़ाइलों के स्नैपशॉट लें।.

तात्कालिक शमन कदम (अभी क्या करना है)

यदि आपकी साइट Xpro Elementor Addons चलाती है और आप तुरंत अपडेट नहीं कर सकते हैं, तो ये आपातकालीन कार्रवाई करें:

  1. प्लगइन को 1.5.1 (या बाद में) अपडेट करें — यह पूर्ण सुधार है जो उचित प्राधिकरण जांच को बहाल करता है।.
  2. प्लगइन को अस्थायी रूप से निष्क्रिय करें यदि आप अपडेट को सुरक्षित रूप से लागू नहीं कर सकते; यह संवेदनशील एंडपॉइंट को ब्लॉक करेगा।.
  3. WAF नियम लागू करें या वर्चुअल पैच — प्लगइन एंडपॉइंट्स को लक्षित करने वाले अनधिकृत POST अनुरोधों को ब्लॉक करने के लिए नियम लागू करें जो टेम्पलेट निर्माण से संबंधित हैं। सामान्य नियम:

    • प्लगइन के AJAX/REST एंडपॉइंट्स पर POST को ब्लॉक करें जब तक अनुरोध प्रमाणित न हो और इसमें मान्य नॉनसेस या टोकन न हों।.
    • स्वीकार्य सामग्री प्रकारों को सीमित करें, उचित हेडर लागू करें, और एंडपॉइंट पर दर-सीमा लगाएं।.
  4. REST/AJAX एंडपॉइंट्स को मजबूत करें — जहां संभव हो, REST एंडपॉइंट्स पर बिना प्रमाणीकरण के पहुंच को सीमित करें या किसी भी ऑपरेशन के लिए प्रमाणीकरण की आवश्यकता करें जो सामग्री को संशोधित करता है।.
  5. इंजेक्टेड टेम्पलेट्स और फ़ाइलों को स्कैन करें और हटाएं — संदिग्ध सामग्री के लिए टेम्पलेट्स, थीम फ़ाइलों और अपलोड्स की खोज करें और ज्ञात-साफ़ बैकअप से हटाएं या पुनर्स्थापित करें।.
  6. क्रेडेंशियल और रहस्यों को घुमाएँ — यदि आप आगे के समझौते का पता लगाते हैं तो व्यवस्थापक पासवर्ड, API कुंजी और सेवा क्रेडेंशियल्स बदलें।.
  7. लॉगिंग और निगरानी बढ़ाएँ — बार-बार के शोषण प्रयासों के लिए पहुंच लॉग की निगरानी करें और दुर्भावनापूर्ण IP को ब्लॉक करें या दर-सीमाएं लागू करें।.

सुधार और मजबूत करना (दीर्घकालिक समाधान)

आपातकालीन कदमों के बाद, जोखिम को कम करने के लिए दीर्घकालिक उपाय लागू करें:

  • WordPress कोर, थीम और प्लगइन्स को अपडेट रखें; महत्वपूर्ण साइटों के लिए स्टेजिंग पर अपडेट का परीक्षण करें।.
  • अप्रयुक्त प्लगइन्स को हटाएं और जहां संभव हो प्लगइन का आकार कम करें।.
  • उपयोगकर्ता खातों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें — केवल आवश्यक क्षमताएं प्रदान करें।.
  • ऑफसाइट बैकअप बनाए रखें और नियमित रूप से पुनर्स्थापना प्रक्रियाओं का अभ्यास करें।.
  • REST और AJAX एंडपॉइंट्स को मजबूत करें: स्थिति-परिवर्तनकारी क्रियाओं के लिए प्रमाणीकरण और नॉनसेस की आवश्यकता करें।.
  • कस्टम कोड में प्राधिकरण जांच और नॉनसेस शामिल करें और नियमित कोड समीक्षाएं करें।.
  • सुरक्षा सलाहकारों की निगरानी और महत्वपूर्ण पैच पर तेजी से कार्रवाई करने के लिए एक प्रक्रिया स्थापित करें।.
  • एक घटना प्रतिक्रिया योजना बनाएं और बनाए रखें जिसमें साक्ष्य संरक्षण, वृद्धि पथ और संचार कदम शामिल हों।.

ऐसे नियंत्रण जो इस प्रकार की खामी के लिए जोखिम को महत्वपूर्ण रूप से कम करते हैं:

  • ज्ञात शोषण पैटर्न को ब्लॉक करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) और अपडेट लागू होने तक आभासी पैच लागू करें।.
  • इंजेक्टेड स्क्रिप्ट या संदिग्ध HTML का पता लगाने के लिए नए या संशोधित टेम्पलेट्स, थीम और अपलोड के लिए सामग्री स्कैनिंग।.
  • सामूहिक स्कैनिंग और स्क्रिप्टेड हमलों को धीमा करने के लिए दर-सीमाएं और IP प्रतिष्ठा नियंत्रण लागू करें।.
  • प्लगइन एंडपॉइंट्स पर POST अनुरोधों और अप्रत्याशित सामग्री परिवर्तनों के लिए व्यापक लॉगिंग और अलर्टिंग।.
  • प्रशासनिक इंटरफेस के लिए पहुँच नियंत्रण सूचियाँ और IP व्हाइटलिस्टिंग जहाँ संचालनात्मक रूप से संभव हो।.
  • अनधिकृत संशोधनों का तेजी से पता लगाने के लिए नियमित अखंडता जांच और फ़ाइल निगरानी।.

घटना प्रतिक्रिया और पुनर्प्राप्ति चेकलिस्ट

  1. सब कुछ स्नैपशॉट करें — फोरेंसिक विश्लेषण के लिए फ़ाइल सिस्टम, डेटाबेस और लॉग का अपरिवर्तनीय स्नैपशॉट लें।.
  2. साइट को अलग करें — यदि साइट सक्रिय रूप से दुर्भावनापूर्ण सामग्री परोस रही है तो रखरखाव मोड या पहुँच प्रतिबंधों पर विचार करें।.
  3. कमजोर प्लगइन को अपडेट या निष्क्रिय करें — 1.5.1 लागू करें या पैच करने तक निष्क्रिय करें।.
  4. दुर्भावनापूर्ण सामग्री को हटा दें — टेम्पलेट्स, थीम फ़ाइलों, अपलोड और पोस्ट की जांच करें और इंजेक्ट की गई सामग्री को हटा दें। यदि आवश्यक हो तो साफ बैकअप से पुनर्स्थापित करें।.
  5. पूरी तरह से स्कैन करें — गहन मैलवेयर स्कैन चलाएँ और बैकडोर या स्थायी तंत्र की तलाश करें।.
  6. क्रेडेंशियल्स को घुमाएं — सभी प्रशासनिक पासवर्ड और किसी भी सेवा/API कुंजी को बदलें जो उजागर हो सकती हैं।.
  7. निर्धारित कार्यों की जांच करें — सुनिश्चित करें कि कोई क्रॉन जॉब्स दुर्भावनापूर्ण सामग्री को पुनर्स्थापित नहीं करेंगे।.
  8. उपयोगकर्ता खातों की समीक्षा करें — अनधिकृत खातों को हटा दें और अनुमतियों का ऑडिट करें।.
  9. पुनर्प्राप्ति के बाद की निगरानी — पुनः प्रयासों का पता लगाने के लिए कम से कम 30 दिनों तक उच्च निगरानी बनाए रखें।.
  10. दस्तावेज़ बनाएं और सीखें — एक घटना रिपोर्ट तैयार करें और भविष्य के जोखिम को कम करने के लिए अपनी संचालन प्रक्रियाओं को अपडेट करें।.

फोरेंसिक्स: क्या देखना है (तकनीकी संकेत)

  • नए टेम्पलेट या डेटाबेस प्रविष्टियाँ जिनमें बाहरी स्क्रिप्ट संदर्भ, अस्पष्ट JavaScript या base64 पेलोड शामिल हैं।.
  • पहुँच लॉग में प्लगइन एंडपॉइंट्स पर एक समान पेलोड के साथ कई IPs या असामान्य उपयोगकर्ता एजेंटों से POST।.
  • अजीब घंटों में अप्रत्याशित प्रशासन/उपयोगकर्ता परिवर्तन या प्रशासनिक खातों की अचानक वृद्धि।.
  • टेम्पलेट सामग्री, विजेट HTML या थीम फ़ाइलों में base64-कोडित पेलोड, eval() कॉल, या अन्य अस्पष्ट कोड।.
  • अपलोड में अप्रत्याशित फ़ाइलें (विशेष रूप से .php फ़ाइलें) या थीम निर्देशिकाओं में अपरिचित फ़ाइलें।.
  • अज्ञात फ़ंक्शंस या फ़ाइलों का संदर्भ देने वाले निर्धारित wp_cron घटनाएँ।.

सफाई से पहले संदिग्ध सामग्री और लॉग की प्रतियाँ एकत्र करें ताकि जांच के लिए सबूत सुरक्षित रह सकें।.

सुधार के बाद परीक्षण और मान्यता

  1. प्लगइन अपडेट की पुष्टि करें — सत्यापित करें कि Xpro Elementor Addons 1.5.1 या बाद में है और प्राधिकरण सुधारों के लिए परिवर्तन लॉग की समीक्षा करें।.
  2. मैलवेयर स्कैन फिर से चलाएँ — सुनिश्चित करें कि कोई शेष संक्रमण या संदिग्ध टेम्पलेट नहीं हैं।.
  3. पुनरावृत्त प्रयासों के लिए लॉग की जाँच करें — पुष्टि करें कि WAF नियम या अन्य सुरक्षा उपाय प्रभावी हैं।.
  4. अधिकृत पेनिट्रेशन परीक्षण करें साइट या एक स्टेजिंग क्लोन के खिलाफ अंत बिंदु सुरक्षा को मान्य करने के लिए।.
  5. बैकअप और पुनर्स्थापना की पुष्टि करें — सुनिश्चित करें कि बैकअप वर्तमान हैं और पुनर्स्थापना अपेक्षित रूप से काम करती है।.
  6. निगरानी और अलर्ट की पुष्टि करें — पुष्टि करें कि आप महत्वपूर्ण सुरक्षा अलर्ट प्राप्त करते हैं और उन पर कार्रवाई कर सकते हैं।.

समापन नोट्स

सरल अनुपस्थित प्राधिकरण जांचें जब बड़े पैमाने पर दुरुपयोग किया जाता है तो असमान संचालन प्रभाव पैदा करना जारी रखती हैं। CVE-2025-15369 यह याद दिलाता है कि त्वरित पैचिंग, स्तरित नियंत्रण और स्पष्ट घटना प्रक्रिया आवश्यक हैं। यदि आपकी साइट Xpro Elementor Addons चलाती है:

  • तुरंत 1.5.1 में अपडेट करें।.
  • यदि आप अपडेट नहीं कर सकते हैं, तो प्लगइन को निष्क्रिय करें और अनधिकृत टेम्पलेट-निर्माण अनुरोधों को ब्लॉक करने के लिए WAF या आभासी पैचिंग नियम लागू करें।.
  • संदिग्ध टेम्पलेट के लिए स्कैन करें और उन्हें हटा दें, प्लगइन अंत बिंदुओं के खिलाफ POST प्रयासों के लिए लॉग की निगरानी करें, और जांच के लिए सबूत सुरक्षित रखें।.

यदि आपके पास गहन जांच या पुनर्प्राप्ति के लिए इन-हाउस क्षमता की कमी है, तो containment, फोरेंसिक्स और सुधार में सहायता के लिए एक अनुभवी घटना प्रतिक्रिया प्रदाता या सुरक्षा सलाहकार को संलग्न करें। सुरक्षा एक स्तरित प्रथा है - सॉफ़्टवेयर को अपडेट रखें, सक्रिय रूप से निगरानी करें और परीक्षण की गई पुनर्प्राप्ति प्रक्रियाओं को बनाए रखें।.

पढ़ने के लिए धन्यवाद। यदि आपको हांगकांग में एक घटना प्रतिक्रिया संपर्क की आवश्यकता है या किसी स्थानीय परामर्शदाता के लिए सिफारिश चाहिए, तो मैं अनुरोध पर तटस्थ विकल्प प्रदान कर सकता हूँ।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

सार्वजनिक सुरक्षा के लिए हांगकांग वेबसाइट्स की सुरक्षा करना (CVE20266728)

अगला लेख —

हांगकांग वेबसाइट्स और समुदायों की रक्षा करना (CVE20266566)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा अवतार माइग्रेशन प्राधिकरण दोष (CVE20258482)

  • अगस्त 11, 2025
WordPress सरल स्थानीय अवतार प्लगइन <= 2.8.4 - प्रमाणित (सदस्य+) अवतार माइग्रेशन के लिए प्राधिकरण की कमी कमजोरियों
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह वूकॉमर्स स्टोर XSS (CVE20258073)

  • अगस्त 28, 2025
वर्डप्रेस डायनामिक AJAX उत्पाद फ़िल्टर वूकॉमर्स प्लगइन <= 1.3.7 - प्रमाणित (योगदानकर्ता+) स्टोर क्रॉस-साइट स्क्रिप्टिंग नाम पैरामीटर के माध्यम से कमजोरियों