Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा एनजीओ अलर्ट टेम्पलेटरा XSS(CVE202554747)

0
शेयर
0
0
0
0
प्लगइन का नाम टेम्पलेटरा
कमजोरियों का प्रकार XSS (क्रॉस-साइट स्क्रिप्टिंग)
CVE संख्या CVE-2025-54747
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-14
स्रोत URL CVE-2025-54747

वर्डप्रेस टेम्पलेटरा (≤ 2.3.0) — XSS सलाह, प्रभाव, और शमन

लेखक: हांगकांग सुरक्षा विशेषज्ञ

तारीख: 14 अगस्त 2025

सारांश: एक क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा दोष जो टेम्पलेटरा प्लगइन (संस्करण ≤ 2.3.0) को प्रभावित करता है, सार्वजनिक रूप से प्रकट किया गया और CVE-2025-54747 सौंपा गया। एक उपयोगकर्ता जिसके पास योगदानकर्ता स्तर के विशेषाधिकार हैं, वह टेम्पलेट्स में JavaScript/HTML इंजेक्ट कर सकता है जो प्रशासकों या आगंतुकों के ब्राउज़रों में निष्पादित हो सकता है। विक्रेता ने संस्करण 2.4.0 में समस्या को ठीक किया। यह सलाह जोखिम, हमले के वेक्टर, containment कदम, पूर्ण सुधार, और व्यावहारिक शमन को समझाती है जब तक आप विक्रेता का सुधार लागू नहीं करते।.

क्या रिपोर्ट किया गया

एक क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा दोष वर्डप्रेस के लिए टेम्पलेटरा प्लगइन में प्रकट किया गया (संस्करण 2.3.0 तक और शामिल)। समस्या को CVE-2025-54747 के रूप में ट्रैक किया गया और अगस्त 2025 के मध्य में प्रकाशित किया गया। डेवलपर ने एक ठीक संस्करण 2.4.0 जारी किया।.

  • सुरक्षा दोष का प्रकार: क्रॉस-साइट स्क्रिप्टिंग (XSS)
  • CVE: CVE-2025-54747
  • प्रभावित संस्करण: टेम्पलेटरा ≤ 2.3.0
  • ठीक किया गया: 2.4.0
  • रिपोर्ट किया गया द्वारा: स्वतंत्र शोधकर्ता (श्रेय दिया गया)
  • आवश्यक विशेषाधिकार: योगदानकर्ता (टेम्पलेट बनाने या संपादित करने में सक्षम)
  • CVSS: विक्रेता/पैच लेखक ने लगभग 6.5 का स्कोर बताया (संदर्भ महत्वपूर्ण है)

यह क्यों महत्वपूर्ण है — खतरे का मॉडल और प्रभाव

XSS एक हमलावर को पीड़ित के ब्राउज़र में निष्पादित होने वाला JavaScript या HTML डालने की अनुमति देता है। व्यावहारिक प्रभावों में शामिल हैं:

  • सत्र टोकन या प्रमाणीकरण कुकीज़ चुराना (विशेष रूप से यदि कुकीज़ HttpOnly नहीं हैं)।.
  • एक प्रशासक के सत्र के संदर्भ में विशेषाधिकार प्राप्त क्रियाएँ करना (CSRF + XSS)।.
  • स्थायी साइट विकृति, दुर्भावनापूर्ण रीडायरेक्ट, क्रिप्टोजैकिंग, या अवांछित विज्ञापन।.
  • आगंतुकों को द्वितीयक पेलोड वितरित करना (दुर्भावनापूर्ण जावास्क्रिप्ट बाहरी मैलवेयर लोड करना)।.

यह मुद्दा उल्लेखनीय है क्योंकि योगदानकर्ता स्तर के खाते - जो आमतौर पर अतिथि लेखकों या बाहरी सामग्री निर्माताओं के लिए उपयोग किए जाते हैं - इसका लाभ उठा सकते हैं, और टेम्पलेट्स पृष्ठों और प्रशासनिक स्क्रीन के बीच पुन: प्रयोज्य होते हैं।.

कौन जोखिम में है

  • साइटें जो Templatera ≤ 2.3.0 चला रही हैं।.
  • साइटें जो अविश्वसनीय या अर्ध-विश्वसनीय उपयोगकर्ताओं को योगदानकर्ता स्तर (या उच्चतर) पर पंजीकरण और कार्य करने की अनुमति देती हैं।.
  • बहु-साइट नेटवर्क जहां टेम्पलेट्स साइटों के बीच साझा किए जाते हैं।.
  • साइटें जो मजबूत सत्र/कुकी सुरक्षा की कमी रखती हैं (HttpOnly, SameSite, सुरक्षित ध्वज गायब) या बिना प्रशासनिक पक्ष के ब्राउज़र सुरक्षा के (जैसे, CSP)।.

यदि आपकी साइट उपरोक्त में से किसी से मेल खाती है, तो इसे कार्यान्वयन योग्य मानें और containment और remediation को प्राथमिकता दें।.

समझौते के संकेत (IoCs) और पहचानने के टिप्स

इंजेक्टेड स्क्रिप्ट या असामान्य टेम्पलेट सामग्री की खोज करके XSS दुरुपयोग के सबूत की जांच करें। देखें:

  • टेम्पलेट सामग्री में अप्रत्याशित जावास्क्रिप्ट (wp_posts, wp_postmeta, या जहां भी टेम्पलेट्स संग्रहीत हैं, वहां खोजें)।.
  • नए या संशोधित टेम्पलेट्स जो उन उपयोगकर्ताओं द्वारा लिखित हैं जिन्हें टेम्पलेट्स संपादित नहीं करना चाहिए (post_author और post_modified की समीक्षा करें)।.
  • टेम्पलेट नामों, शीर्षकों, विवरणों या सामग्री में संदिग्ध HTML विशेषताएँ: इनलाइन टैग, onerror=, onload= हैंडलर, javascript: URIs, data: URIs।.
  • प्रशासनिक पूर्वावलोकन पृष्ठ जो लोड होने पर पॉपअप या अप्रत्याशित सामग्री दिखाते हैं।.
  • तीसरे पक्ष के डोमेन के लिए असामान्य आउटबाउंड अनुरोध (क्रिप्टोमाइनिंग, C2 सर्वर, विश्लेषणात्मक एंडपॉइंट्स जो पहचाने नहीं गए)।.
  • टेम्पलेट परिवर्तनों के समकालिक प्रशासनिक खातों के लिए लॉगिन विसंगतियाँ या सत्र असामान्यताएँ।.

स्पष्ट स्क्रिप्ट इंजेक्शन खोजने के लिए खोज उदाहरण (SQL):

SELECT ID, post_title, post_author, post_date, post_modified;

नोट: कुछ वैध सामग्री में टैग शामिल हो सकते हैं (जैसे, एम्बेड्स)। परिणामों की सावधानीपूर्वक समीक्षा करें।.

तात्कालिक नियंत्रण — अभी क्या करें

यदि आप तुरंत प्लगइन अपडेट नहीं कर सकते हैं, तो इन चरणों के साथ जोखिम को कम करें:

  1. योगदानकर्ता टेम्पलेट विशेषाधिकार को रद्द करें या सीमित करें — जहां संभव हो, कम-विश्वास वाले भूमिकाओं के लिए टेम्पलेट बनाने/संपादित करने की क्षमता को हटा दें या सीमित करें।.
  2. प्रशासन में टेम्पलेट पूर्वावलोकन को निष्क्रिय करें — यदि पूर्वावलोकन टेम्पलेट सामग्री को प्रदर्शित करते हैं, तो उन्हें निष्क्रिय या सीमित करें ताकि प्रशासनिक ब्राउज़र जोखिम में न आएं।.
  3. XSS पेलोड के लिए एज ब्लॉकिंग लागू करें — यदि आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या समान एज फ़िल्टरिंग संचालित करते हैं, तो सामान्य XSS पेलोड और संदिग्ध POSTs को टेम्पलेट एंडपॉइंट्स पर ब्लॉक करने के लिए नियम सक्षम करें।.
  4. प्रशासनिक सत्र रोटेशन को मजबूर करें — यदि समझौता होने का संदेह है, तो प्रशासनिक उपयोगकर्ताओं के लिए लॉगआउट को मजबूर करें या मौजूदा सत्रों को अमान्य करने के लिए प्रमाणीकरण नमक को घुमाएं।.
  5. फ़ाइल और प्लगइन संपादन को निष्क्रिय करें — आगे की अनधिकृत परिवर्तनों को रोकने के लिए अस्थायी रूप से डैशबोर्ड संपादकों को निष्क्रिय करें।.
  6. हाल की योगदानकर्ता गतिविधि का ऑडिट करें — योगदानकर्ता खातों द्वारा बनाए गए या संशोधित टेम्पलेट, पोस्ट और अपलोड की समीक्षा करें।.
  7. मैलवेयर और इंजेक्टेड सामग्री के लिए स्कैन करें — पोस्ट, टेम्पलेट और फ़ाइल सिस्टम पर तुरंत स्कैन चलाएं।.

नियंत्रण तत्काल जोखिम को कम करने के बारे में है जबकि आप पूर्ण सुधार के लिए तैयारी कर रहे हैं।.

पूर्ण सुधार — अपडेट और सफाई

  1. प्लगइन को तुरंत 2.4.0 या बाद के संस्करण में अपडेट करें — आधिकारिक विक्रेता पैच लागू करें; यह प्राथमिक समाधान है।.
  2. दुर्भावनापूर्ण टेम्पलेट की समीक्षा करें और हटाएं — टैग, on* विशेषताएँ, javascript: URI और संदिग्ध एन्कोडिंग के लिए टेम्पलेट सामग्री का ऑडिट करें; आपत्तिजनक प्रविष्टियों को हटाएं या साफ करें।.
  3. रहस्यों को घुमाएँ — व्यवस्थापक पासवर्ड रीसेट करें और यदि चोरी का संदेह हो तो wp-config.php में प्रमाणीकरण नमक (AUTH_KEY, SECURE_AUTH_KEY, आदि) को घुमाने पर विचार करें ताकि सत्र अमान्य हो जाएं।.
  4. डेटाबेस सामग्री को साफ करें — एन्कोडेड पेलोड और अजीब एन्कोडिंग (base64, फ़िल्टर से बचने के लिए उपयोग की जाने वाली HTML संस्थाएँ) के लिए post_content और postmeta फ़ील्ड की खोज करें और साफ करें।.
  5. स्थिरता के लिए खोजें — वेबशेल, अप्रत्याशित क्रॉन कार्य, निर्धारित घटनाएँ, या नए प्रशासनिक उपयोगकर्ताओं की जांच करें।.
  6. यदि आवश्यक हो तो बैकअप से पुनर्स्थापित करें — यदि सफाई अधूरी है या प्रणाली की अखंडता स्पष्ट नहीं है, तो ज्ञात-साफ बैकअप से पुनर्स्थापित करें।.
  7. निकटता से निगरानी करें — सफाई के बाद कई दिनों तक स्कैनिंग और लॉग समीक्षा जारी रखें ताकि फॉलो-अप गतिविधि को पकड़ सकें।.

यदि आप व्यवस्थापक क्रेडेंशियल या सर्वर-स्तरीय समझौते का संदेह करते हैं, तो पूर्ण जांच के लिए फोरेंसिक घटना प्रतिक्रिया टीम को शामिल करें।.

एज सुरक्षा और आभासी पैचिंग (सामान्य मार्गदर्शन)

विक्रेता पैच लागू करने की प्रतीक्षा करते समय, एज सुरक्षा हमले की सतह को कम कर सकती है। अनुशंसित नियंत्रण (विक्रेता-स्वतंत्र):

  • WAF नियम लागू करें जो POST बॉडी और व्यवस्थापक AJAX अनुरोधों की जांच करते हैं ताकि स्क्रिप्ट पेलोड को अवरुद्ध किया जा सके और स्पष्ट रूप से दुर्भावनापूर्ण पैटर्न को रोका जा सके।.
  • ज्ञात एंडपॉइंट्स को लक्षित करने वाले शोषण प्रयासों को रोकने के लिए वर्चुअल पैचिंग या अनुरोध फ़िल्टर (यदि उपलब्ध हो) का उपयोग करें।.
  • ऐसे मैलवेयर और सामग्री स्कैनर चलाएँ जो इंजेक्टेड इनलाइन जावास्क्रिप्ट, असामान्य एन्कोडिंग, या ज्ञात पेलोड हस्ताक्षर की तलाश करते हैं।.
  • असामान्य टेम्पलेट संचालन के लिए खाता व्यवहार की निगरानी करें और तेज़ सामग्री परिवर्तनों पर अलर्ट करें।.
  • एज पर स्वचालित स्कैनरों और दुरुपयोग करने वाले IPs को दर-सीमा या ब्लॉक करें।.

किसी भी एज नियम का पहले पहचान/लॉग मोड में परीक्षण करें ताकि वैध संपादकीय कार्यप्रवाह में बाधा न आए।.

WAFs या अनुरोध फ़िल्टर में लागू किए जा सकने वाले उदाहरण पहचान ह्यूरिस्टिक्स। ये चित्रात्मक हैं — झूठे सकारात्मक संतुलित करने के लिए सावधानी से परीक्षण करें।.

  1. टेम्पलेट फ़ील्ड में स्क्रिप्ट टैग को ब्लॉक करें

    POST बॉडी से मेल खाएं जहां टेम्पलेट शीर्षक/बॉडी फ़ील्ड में या इवेंट हैंडलर होते हैं।.

    (?i)(<\s*स्क्रिप्ट\b|onerror\s*=|onload\s*=|जावास्क्रिप्ट\s*:)
  2. संदिग्ध एन्कोडिंग का पता लगाएं

    प्रतिशत-एन्कोडेड या बेस64-एन्कोडेड स्क्रिप्ट संकेतकों को चिह्नित करें।.

    (?i)(%3C\s*script|data:text/html;base64|base64,PHNjcmlwdA==)
  3. व्यवस्थापक AJAX टेम्पलेट सहेजने की निगरानी करें

    /wp-admin/admin-ajax.php पर टेम्पलेट-संबंधित क्रियाओं के लिए POST की जांच करें और जब स्क्रिप्ट पैटर्न दिखाई दें तो ब्लॉक करें।.

  4. इवेंट हैंडलर एट्रिब्यूट ह्यूरिस्टिक

    उपयोगकर्ता द्वारा प्रदान किए गए इनपुट के भीतर “on” से शुरू होने वाले एट्रिब्यूट का पता लगाएं:

    (?i)ऑन[a-z]+\s*=\s*["']?[^"'\s>]+
  5. परावर्तित संदर्भों की सुरक्षा करें

    जब GET पैरामीटर में स्क्रिप्ट पैटर्न होते हैं तो उन्हें पृष्ठों में परावर्तित होने से रोकें।.

  6. व्यवस्थापक के लिए सामग्री सुरक्षा नीति लागू करें

    व्यवस्थापक में XSS प्रभाव को कम करने के लिए उदाहरण हेडर:

    सामग्री-सुरक्षा-नीति: डिफ़ॉल्ट-स्रोत 'स्वयं'; स्क्रिप्ट-स्रोत 'स्वयं' 'नॉन्स-'; ऑब्जेक्ट-स्रोत 'कोई नहीं'; आधार-यूआरआई 'स्वयं';

    नोट: CSP यदि अत्यधिक सख्त हो तो कार्यक्षमता को तोड़ सकता है; एक स्टेजिंग वातावरण में परीक्षण करें।.

हार्डनिंग और दीर्घकालिक सर्वोत्तम प्रथाएँ

  • न्यूनतम विशेषाधिकार का सिद्धांत: केवल विश्वसनीय उपयोगकर्ताओं को योगदानकर्ता (और उच्चतर) भूमिकाएँ दें। अविश्वसनीय खातों द्वारा टेम्पलेट संपादन की अनुमति देने वाले कार्यप्रवाहों को फिर से काम करें।.
  • क्षमता ऑडिटिंग: प्लगइन-प्रदान की गई क्षमताओं की समीक्षा करें और प्रतिबंधित करें ताकि कम-विश्वास भूमिकाएँ टेम्पलेट नहीं बना या संपादित कर सकें।.
  • साफ़ करें और बचाएं: सुनिश्चित करें कि HTML-स्वीकृत फ़ील्ड सुरक्षित उपसमुच्चय (wp_kses, wp_kses_post) का उपयोग करें और खतरनाक एट्रिब्यूट्स को हटा दें।.
  • सुरक्षित कुकीज़: HttpOnly और Secure फ्लैग का उपयोग करें; जहां लागू हो, SameSite सेट करें।.
  • सामग्री सुरक्षा नीति: स्क्रिप्ट स्रोतों को सीमित करने के लिए प्रशासनिक क्षेत्रों के लिए CSP लागू करें।.
  • पैचिंग की आवृत्ति: अपडेट के लिए एक कार्यक्रम बनाए रखें और उत्पादन से पहले स्टेजिंग में पैच का परीक्षण करें।.
  • निगरानी और बैकअप: लॉगिंग, निरंतर निगरानी और संस्करण के साथ बार-बार बैकअप रखें।.

डेवलपर्स के लिए: स्रोत पर XSS को ठीक करना

XSS को रोकने के लिए डेवलपर के सर्वोत्तम अभ्यास:

  • इनपुट पर सैनीटाइज करें, आउटपुट पर एस्केप करें: संग्रहीत HTML के लिए, इनपुट को मान्य और साफ करें; उपयुक्त संदर्भ में आउटपुट को एस्केप करें। टैग और विशेषताओं की अनुमति सूची के साथ wp_kses() का उपयोग करें।.
  • वर्डप्रेस सहायक कार्य: उपयुक्त रूप से esc_html(), esc_attr(), wp_kses_post(), wp_kses_data() का उपयोग करें।.
  • प्रशासनिक सामग्री को अविश्वसनीय मानें: यह न मानें कि केवल प्रशासन UI सुरक्षित है — प्रशासनिक ब्राउज़र को लक्षित किया जा सकता है।.
  • क्षमता जांच और नॉनस: हमेशा current_user_can() और नॉनसेस (check_admin_referer(), wp_verify_nonce()) को सहेजने और AJAX एंडपॉइंट्स पर सत्यापित करें।.
  • तृतीय-पक्ष पुस्तकालयों का ऑडिट करें: सुनिश्चित करें कि टेम्पलेट रेंडरिंग पुस्तकालय सफाई को बायपास नहीं करते हैं या असुरक्षित विशेषताओं की अनुमति नहीं देते हैं।.

घटना प्रतिक्रिया चेकलिस्ट (त्वरित संदर्भ)

  1. पहचानें: प्लगइन और संस्करण की पुष्टि करें; टाइमस्टैम्प और संदिग्ध उपयोगकर्ताओं को नोट करें।.
  2. शामिल करें: योगदानकर्ताओं के लिए टेम्पलेट विशेषाधिकार वापस लें, पूर्वावलोकन बंद करें, एज ब्लॉकिंग लागू करें।.
  3. पैच करें: यथाशीघ्र Templatera को 2.4.0 या बाद के संस्करण में अपडेट करें।.
  4. साफ करें: इंजेक्टेड टेम्पलेट/सामग्री को हटा दें, डेटाबेस को साफ करें, क्रेडेंशियल्स को घुमाएं।.
  5. पुनर्स्थापित करें: यदि आवश्यक हो, तो एक विश्वसनीय बैकअप से पुनर्स्थापित करें।.
  6. निगरानी करें: लॉग देखें और स्थायीता और असामान्य आउटबाउंड गतिविधियों के लिए स्कैन करें।.
  7. सीखें: समीक्षा करें कि योगदानकर्ता खाते ने विशेषाधिकार कैसे प्राप्त किए और अंतर को बंद करें।.

वास्तविक हमले के परिदृश्य

परिदृश्य ए — लक्षित व्यवस्थापक अधिग्रहण

एक योगदानकर्ता खाते वाला हमलावर एक टेम्पलेट बनाता है जिसमें एक स्क्रिप्ट होती है जो कुकीज़ को एक हमलावर-नियंत्रित सर्वर पर निकालती है। जब एक व्यवस्थापक व्यवस्थापक UI में टेम्पलेट का पूर्वावलोकन करता है, तो स्क्रिप्ट निष्पादित होती है, सत्र कुकी भेजती है, और हमलावर इसका उपयोग डैशबोर्ड तक पहुंचने के लिए करता है।.

परिदृश्य बी — सार्वजनिक पृष्ठों का सामूहिक संक्रमण

एक हमलावर एक टेम्पलेट प्रकाशित करता है जो कई पृष्ठों में उपयोग किया जाता है जो सार्वजनिक पृष्ठों में एक क्रिप्टो-माइनर स्क्रिप्ट इंजेक्ट करता है। आगंतुक स्क्रिप्ट लोड करते हैं और साइट क्रिप्टोमाइनिंग के लिए एक वितरण बिंदु बन जाती है।.

इन श्रृंखलाओं को समझना सही रक्षा चुनने में मदद करता है: जहां संभव हो, किनारे पर अवरोध करें, और स्रोत पर दुर्भावनापूर्ण सामग्री को हटा दें।.

पहचान ट्यूनिंग और झूठे सकारात्मक से बचना

WAF नियमों और अनुरोध फ़िल्टर को ट्यून करते समय, साइट की कार्यक्षमता के साथ अवरोध को संतुलित करें:

  • प्रारंभिक ट्यूनिंग के दौरान पहचान/लॉग मोड और व्हitelisted व्यवस्थापक आईपी का उपयोग करें।.
  • संपादकीय कार्यप्रवाह के लिए व्यवधान से बचने के लिए व्यवस्थापक अलर्ट या नरम अवरोध को प्राथमिकता दें।.
  • संदर्भ द्वारा नियमों का दायरा — सभी HTML को अवरुद्ध करने के बजाय खतरनाक विशेषताओं को सीमित करें जहां मार्कअप की अपेक्षा की जाती है।.

तुरंत अपडेट क्यों करें — यहां तक कि “कम प्राथमिकता” मुद्दों के लिए भी

भले ही CVSS या विक्रेता मार्गदर्शन इसे कम प्राथमिकता के रूप में लेबल करे, तुरंत कार्रवाई करें क्योंकि:

  • XSS व्यवस्थापक समझौता, डेटा चोरी, या आगे के शोषण में बदल सकता है।.
  • योगदानकर्ता स्तर के खाते का दुरुपयोग सामान्य है और अक्सर अनदेखा किया जाता है।.
  • सार्वजनिक शोषण और स्कैनर हस्ताक्षर खुलासे के कुछ दिनों के भीतर प्रकट हो सकते हैं।.

पैचिंग में देरी न करें: अब हमले की खिड़की को कम करें और सफाई और निगरानी के साथ आगे बढ़ें।.

  1. जांचें कि आपकी साइट Templatera चला रही है और स्थापित संस्करण की पहचान करें।.
  2. यदि आप ≤ 2.3.0 चला रहे हैं:
    • 2.4.0 के लिए एक आपातकालीन अपडेट शेड्यूल करें और लागू करें (यदि आवश्यक हो तो स्टेजिंग में परीक्षण करें)।.
    • समानांतर में, यदि उपलब्ध हो तो WAF/अनुरोध-फिल्टरिंग सुरक्षा सक्षम करें और योगदानकर्ता गतिविधि का ऑडिट करें।.
  3. प्रशासन और सत्र सुरक्षा को मजबूत करें (HttpOnly कुकीज़, जहां संभव हो पुनः प्रमाणीकरण को मजबूर करें)।.
  4. पूर्ण साइट स्कैन चलाएं और सुधार के बाद कम से कम 72 घंटों तक असामान्य गतिविधि की निगरानी करें।.
  5. टेम्पलेट्स और संपादकीय कार्यप्रवाहों तक योगदानकर्ता पहुंच को नियंत्रित करने वाली आंतरिक नीतियों की समीक्षा करें।.

सुरक्षा निरंतर है: जल्दी पैच करें, लगातार निगरानी करें, और अपने हमले की सतह को कम करें। यदि आपको सहायता की आवश्यकता है, तो अनुभवी वर्डप्रेस घटना प्रतिक्रिया विशेषज्ञों या सुरक्षा सलाहकारों की मदद लें जिनका सिद्ध ट्रैक रिकॉर्ड हो; तात्कालिक या अप्रयुक्त उपकरणों से बचें।.

अस्वीकरण: यह सलाहकारी सूचना है और साइट मालिकों और प्रशासकों को CVE-2025-54747 का जवाब देने में मदद करने के लिए है। यह किसी विशेष व्यावसायिक सुरक्षा विक्रेता का समर्थन नहीं करता है। उत्पादन में लागू करने से पहले हमेशा परिवर्तनों का परीक्षण एक स्टेजिंग वातावरण में करें।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा सलाहकार Elementor ऐडऑन दोष (CVE202554712)

अगला लेख —

HK सुरक्षा अलर्ट्स WordPress B Blocks XSS(CVE202554708)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाहकार एनविरा गैलरी बाईपास (CVE202512377)

  • नवम्बर 16, 2025
वर्डप्रेस के लिए वर्डप्रेस गैलरी प्लगइन - एनविरा फोटो गैलरी प्लगइन <= 1.12.0 - प्रमाणित (लेखक+) कई गैलरी क्रियाओं के लिए प्राधिकरण की कमी की भेद्यता