| प्लगइन का नाम | हाउज़ेज़ |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2025-9163 |
| तात्कालिकता | मध्यम |
| CVE प्रकाशन तिथि | 2025-11-30 |
| स्रोत URL | CVE-2025-9163 |
Houzez थीम (≤ 4.1.6) में अनधिकृत स्टोर XSS SVG अपलोड के माध्यम से — वर्डप्रेस मालिकों को अब क्या करना चाहिए
हाल ही में प्रकट हुई एक भेद्यता जो Houzez वर्डप्रेस थीम (संस्करण 4.1.6 तक और शामिल) को प्रभावित करती है, अनधिकृत हमलावरों को दुर्भावनापूर्ण SVG फ़ाइलें अपलोड करने की अनुमति देती है जो संग्रहीत होती हैं और बाद में प्रस्तुत की जाती हैं, जिससे स्थायी (स्टोर) क्रॉस-साइट स्क्रिप्टिंग (XSS) सक्षम होती है। इस मुद्दे को CVE-2025-9163 सौंपा गया है और इसका CVSS बेस स्कोर 7.1 (मध्यम) है। Houzez 4.1.7 में एक सुधार जारी किया गया था, लेकिन कई साइटें अभी भी पुराने संस्करण चला रही हैं और उजागर हैं।.
यह लेख स्पष्ट तकनीकी शर्तों में और व्यावहारिक कदमों के साथ समझाता है कि भेद्यता कैसे काम करती है, आपकी साइट और उपयोगकर्ताओं के लिए वास्तविक जोखिम क्या हैं, और तुरंत और दीर्घकालिक में क्या करना चाहिए। यदि आप Houzez का उपयोग करके वर्डप्रेस साइटों का प्रबंधन करते हैं या किसी भी साइट का प्रबंधन करते हैं जो अनधिकृत उपयोगकर्ताओं से SVG अपलोड स्वीकार करती है, तो पढ़ें और तुरंत कार्रवाई करें।.
त्वरित सारांश (समय की कमी वाले साइट मालिकों के लिए)
- भेद्यता: Houzez थीम में SVG फ़ाइल अपलोड के माध्यम से अनधिकृत स्टोर XSS ≤ 4.1.6
- CVE: CVE-2025-9163
- गंभीरता: मध्यम (CVSS 7.1)
- प्रभाव: स्थायी XSS — हमलावर JavaScript इंजेक्ट कर सकते हैं जो तब निष्पादित होता है जब अपलोड किया गया SVG प्रस्तुत किया जाता है। संभावित परिणामों में सत्र हाइजैकिंग, सामग्री इंजेक्शन, रीडायरेक्ट और बैकडोर शामिल हैं।.
- ठीक किया गया: Houzez 4.1.7 में — यदि संभव हो तो तुरंत अपडेट करें।.
- यदि आप तुरंत अपडेट नहीं कर सकते हैं तो तात्कालिक उपाय:
- SVG अपलोड को निष्क्रिय करें या अपलोड को विश्वसनीय, प्रमाणित भूमिकाओं तक सीमित करें।.
- सर्वर-साइड SVG स्वच्छता लागू करें या SVG अपलोड को रास्टर छवियों में परिवर्तित करें।.
- संदिग्ध SVG अपलोड और इनलाइन स्क्रिप्ट विशेषताओं को ब्लॉक करने के लिए अपने WAF या सर्वर पर लक्षित नियम लागू करें।.
- प्रभाव को कम करने के लिए सामग्री-सुरक्षा-नीति और संबंधित हेडर को कड़ा करें।.
- संदिग्ध SVG फ़ाइलों या पेलोड के लिए अपलोड और डेटाबेस को स्कैन करें और उन्हें हटा दें।.
भेद्यता कैसे काम करती है (तकनीकी व्याख्या)
SVG (स्केलेबल वेक्टर ग्राफिक्स) एक XML-आधारित छवि प्रारूप है जो आकृतियों, शैलियों और एम्बेडेड जावास्क्रिप्ट के माध्यम से स्क्रिप्ट निष्पादन का समर्थन करता है। यदि कोई एप्लिकेशन SVG फ़ाइलों को स्वीकार करता है और उन्हें संग्रहीत करता है और बाद में उनके सामग्री को एक तरीके से आउटपुट करता है जिसे ब्राउज़र इनलाइन मार्कअप के रूप में व्याख्या करता है (उदाहरण के लिए, SVG मार्कअप को सीधे पृष्ठों में एम्बेड करना या इसे एक सामग्री प्रकार के साथ सेवा देना जो इनलाइन रेंडरिंग की अनुमति देता है), तो एक हमलावर SVG के अंदर निष्पादन योग्य जावास्क्रिप्ट शामिल कर सकता है। जब कोई अन्य उपयोगकर्ता या प्रशासक पृष्ठ को देखता है, तो स्क्रिप्ट साइट के मूल संदर्भ में चलती है, जिससे एक संग्रहीत XSS स्थिति उत्पन्न होती है।.
इस विशेष मुद्दे में:
