Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा NGO अलर्ट वर्डप्रेस XSS (CVE20253414)

वर्डप्रेस संरचित सामग्री प्लगइन < 1.7.0 - योगदानकर्ता संग्रहीत XSS भेद्यता
0
शेयर
0
0
0
0
प्लगइन का नाम संरचित सामग्री
कमजोरियों का प्रकार स्टोर किया गया XSS
CVE संख्या CVE-2025-3414
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-14
स्रोत URL CVE-2025-3414

संरचित सामग्री प्लगइन (< 1.7.0) — योगदानकर्ता संग्रहीत XSS (CVE-2025-3414): वर्डप्रेस साइट मालिकों को क्या जानना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ

तारीख: 2025-08-XX

टैग: वर्डप्रेस, XSS, WAF, सुरक्षा, प्लगइन भेद्यता

एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता जो संरचित सामग्री वर्डप्रेस प्लगइन को प्रभावित करती है (संस्करण 1.7.0 में ठीक की गई) एक योगदानकर्ता भूमिका वाले उपयोगकर्ता को जावास्क्रिप्ट पेलोड को बनाए रखने की अनुमति देती है जो बाद में सामग्री के प्रस्तुत होने पर निष्पादित हो सकते हैं। यह मुद्दा CVE-2025-3414 के रूप में ट्रैक किया गया है और इसका CVSS-समान रेटिंग 6.5 है। प्लगइन के रखरखावकर्ता ने 1.7.0 में एक समाधान जारी किया।.

यह सलाह एक हांगकांग-आधारित सुरक्षा प्रैक्टिशनर के दृष्टिकोण से लिखी गई है: संक्षिप्त, व्यावहारिक और उन कार्यों पर केंद्रित है जो साइट मालिक तुरंत जोखिम को कम करने के लिए कर सकते हैं।.

कार्यकारी सारांश (TL;DR)

  • संग्रहीत XSS संरचित सामग्री के संस्करणों में 1.7.0 से पहले मौजूद है।.
  • केवल योगदानकर्ता भूमिका वाले एक हमलावर सामग्री को इंजेक्ट कर सकता है जो संग्रहीत हो सकती है और बाद में प्रस्तुत की जा सकती है, जिससे आगंतुकों या प्रशासकों के ब्राउज़रों में जावास्क्रिप्ट निष्पादन सक्षम होता है।.
  • संरचित सामग्री को 1.7.0 या बाद के संस्करण में अपडेट करें — यह निश्चित समाधान है।.
  • यदि तत्काल अपडेट संभव नहीं है, तो शमन लागू करें: योगदानकर्ता क्षमताओं को सीमित करें, खातों की जांच करें, इंजेक्टेड स्क्रिप्ट के लिए सामग्री को स्कैन करें, शोषण प्रयासों को रोकने के लिए सर्वर-साइड फ़िल्टरिंग या WAF लागू करें, और ब्राउज़र सुरक्षा (CSP) लागू करें।.
  • संग्रहीत दुर्भावनापूर्ण सामग्री अपडेट द्वारा हटा नहीं जाती; आपको अपने डेटाबेस को खोजने और साफ करने की आवश्यकता है।.

संग्रहीत XSS क्या है और यह क्यों अलग है?

क्रॉस-साइट स्क्रिप्टिंग तब होती है जब हमलावर-नियंत्रित इनपुट को उचित एस्केपिंग के बिना उपयोगकर्ताओं के ब्राउज़रों में वापस किया जाता है, जिससे मनमाने स्क्रिप्ट निष्पादन की अनुमति मिलती है। संग्रहीत XSS अधिक खतरनाक है क्योंकि पेलोड सर्वर पर (पोस्ट, मेटा, प्लगइन स्टोरेज में) बना रहता है और बार-बार परोसा जाता है।.

प्रमुख निहितार्थ:

  • स्थिरता: पेलोड तब तक बना रहता है जब तक इसे संग्रह से हटा नहीं दिया जाता।.
  • कई पीड़ित: यह आगंतुकों, संपादकों और प्रशासकों को प्रभावित करता है कि सामग्री कहां प्रस्तुत की जाती है।.
  • विशेषाधिकार वृद्धि: यदि प्रशासक-फेसिंग पृष्ठ पेलोड प्रस्तुत करते हैं, तो एक हमलावर सत्र टोकन को निकाल सकता है या प्रशासक के रूप में क्रियाएँ कर सकता है।.

इस मामले में, प्लगइन ने टेम्पलेट्स या प्रशासनिक दृश्य में प्रदर्शित करने से पहले योगदानकर्ता द्वारा प्रदान किए गए इनपुट को पर्याप्त रूप से साफ़ या एस्केप नहीं किया।.

इस सुरक्षा कमजोरी का लाभ कौन उठा सकता है?

आवश्यक विशेषाधिकार स्तर योगदानकर्ता है। डिफ़ॉल्ट रूप से, योगदानकर्ता अपने स्वयं के पोस्ट बना और प्रबंधित कर सकते हैं लेकिन प्रकाशित नहीं कर सकते। कई साइटें योगदानकर्ता खातों (अतिथि लेखक, सामुदायिक सबमिशन, ओपन रजिस्ट्रेशन) की अनुमति देती हैं, जिससे शोषण की बाधा कम होती है।.

यह क्यों महत्वपूर्ण है:

  • एक दुर्भावनापूर्ण या समझौता किया गया योगदानकर्ता खाता एक पेलोड स्टोर करने के लिए उपयोग किया जा सकता है।.
  • यदि प्रशासनिक संदर्भों (पूर्वावलोकन, पोस्ट सूचियाँ, मेटा बॉक्स) में फिर से प्रदर्शित किया जाता है, तो पेलोड उच्च विशेषाधिकार वाले उपयोगकर्ताओं को लक्षित कर सकता है।.

संभावित प्रभाव और शोषण परिदृश्य

  • आगंतुक-लक्षित हमले: सार्वजनिक पृष्ठ आगंतुकों को इंजेक्टेड स्क्रिप्ट्स (रीडायरेक्ट, ड्राइव-बाय डाउनलोड, फ़िशिंग) प्रदान कर सकते हैं।.
  • प्रशासन-लक्षित हमले: प्रशासनिक यूआई में प्रदर्शित पेलोड सत्र कुकीज़ चुरा सकते हैं, प्रशासनिक संदर्भ में क्रियाएँ कर सकते हैं, या आगे के बैकडोर स्थापित कर सकते हैं।.
  • प्रतिष्ठा और SEO: इंजेक्टेड सामग्री स्पैम, अवांछित लिंक, या खोज इंजन दंड का कारण बन सकती है।.
  • स्थायी बैकडोर: हमलावर ऐसे रूटीन छोड़ सकते हैं जो दुर्भावनापूर्ण सामग्री को फिर से पेश करते हैं जब तक डेटाबेस साफ़ नहीं हो जाता।.

CVE और गंभीरता पर एक त्वरित नोट

CVE-2025-3414 का स्कोर लगभग 6.5 है। रेटिंग अपेक्षाकृत आसानी (योगदानकर्ता भूमिका पर्याप्त है) और यदि प्रशासनिक-समर्थन रेंडर पथों को लक्षित किया जाता है तो महत्वपूर्ण प्रभाव की संभावना को दर्शाती है। एक उपयोगकर्ता खाते (गुमनाम नहीं) की आवश्यकता दूरस्थ शोषण को सीमित करती है लेकिन संग्रहीत XSS को एक वृद्धि वेक्टर के रूप में गंभीरता को कम नहीं करती है।.

आपको तुरंत उठाने चाहिए कदम (प्राथमिकता चेकलिस्ट)

  1. संरचित सामग्री को 1.7.0 या बाद के संस्करण में अपडेट करें।. जहां संभव हो, स्टेजिंग में परीक्षण करें, फिर तैनात करें।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते:
    • अस्थायी रूप से संरचित सामग्री प्लगइन को निष्क्रिय करें, या
    • योगदानकर्ता क्षमताओं को सीमित करें (सामग्री निर्माण को हटा दें जो प्लगइन प्रस्तुत करता है),
    • जब आप सुधार कर रहे हों तो स्व-पंजीकरण को निष्क्रिय करें, और
    • हाल के योगदानकर्ता खातों को हटा दें या निकटता से जांचें।.
  3. इंजेक्टेड स्क्रिप्ट और संदिग्ध सामग्री के लिए स्कैन करें।. स्क्रिप्ट टैग, इनलाइन इवेंट हैंडलर्स और ओबफस्केटेड पेलोड के लिए पोस्ट, कस्टम पोस्ट प्रकार और प्लगइन-विशिष्ट तालिकाओं की खोज करें।.
  4. क्रेडेंशियल्स को रोटेट करें और सत्रों की समीक्षा करें।. यदि समझौता होने का संदेह हो तो प्रशासकों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें और सक्रिय सत्रों को अमान्य करें।.
  5. समझौते के संकेतों के लिए लॉग की समीक्षा करें।. असामान्य प्रशासक पहुंच, सामूहिक संपादन, या संदिग्ध पेलोड के साथ अनुरोधों की तलाश करें।.
  6. अस्थायी एज सुरक्षा लागू करें।. स्पष्ट शोषण प्रयासों को रोकने के लिए सर्वर-स्तरीय फ़िल्टरिंग या सही-संरचित वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जब तक कि आप सामग्री को अपडेट और साफ नहीं कर लेते।.

कैसे पता करें कि आपकी साइट का शोषण किया गया है

लगातार दुर्भावनापूर्ण सामग्री और असामान्य व्यवहार के संकेतों की तलाश करें:

  • पोस्ट सामग्री, कस्टम फ़ील्ड, या प्लगइन तालिकाओं में स्क्रिप्ट टैग की उपस्थिति (<script>)।.
  • इनलाइन इवेंट विशेषताएँ जैसे लोड होने पर, त्रुटि पर, onclick जहाँ अप्रत्याशित हो।.
  • बेस64 ब्लॉब, eval() उपयोग, पढ़ाई दस्तावेज़.कुकी, या अपरिचित बाहरी डोमेन के लिए कॉल।.
  • आगंतुकों से पुनर्निर्देश, पॉपअप या अप्रत्याशित संकेतों की रिपोर्ट।.
  • सामग्री का पूर्वावलोकन या मॉडरेट करते समय पॉपअप या पुनर्निर्देश का अनुभव करने वाले व्यवस्थापक।.

सुझाए गए खोज दृष्टिकोण (सुरक्षित, गैर-नाशक):

wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%' OR post_content LIKE '%onerror=%' OR post_content LIKE '%eval(%';"
wp db query "SELECT post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%<script%' LIMIT 100;"

पोस्टों को निर्यात करें और संदिग्ध टोकनों जैसे की जांच करें 9. या विशेषताओं जैसे onload=, त्रुटि होने पर=, eval(, या असामान्य एन्कोडिंग।.

तकनीकी विवरण (उच्च-स्तरीय, गैर-शोषणकारी)

मूल कारण उपयोगकर्ता-नियंत्रित इनपुट की अपर्याप्त स्वच्छता/एस्केपिंग है जो संग्रहीत होती है और बाद में उन संदर्भों में आउटपुट होती है जहां ब्राउज़र स्क्रिप्ट निष्पादित करते हैं। सही हैंडलिंग के लिए आउटपुट से ठीक पहले संदर्भ-जानकारी एस्केपिंग की आवश्यकता होती है।.

सुरक्षित-कोडिंग अनुस्मारक:

  • प्रवेश बिंदुओं पर इनपुट को मान्य और स्वच्छ करें।.
  • संदर्भ के अनुसार आउटपुट को एस्केप करें: esc_html() HTML पाठ के लिए, esc_attr() विशेषताओं के लिए, और wp_kses() व्हाइटलिस्टेड मार्कअप के लिए।.
  • अविश्वसनीय उपयोगकर्ताओं से कच्चा HTML संग्रहीत करने से बचें; प्लेनटेक्स्ट या सख्त व्हाइटलिस्टिंग को प्राथमिकता दें।.

यदि आप तुरंत अपडेट नहीं कर सकते हैं तो आप जो उपाय लागू कर सकते हैं

  1. भूमिकाओं और क्षमताओं को मजबूत करें: अस्थायी रूप से योगदानकर्ता भूमिका को निष्क्रिय करें या विशिष्ट क्षमताओं को वापस लें जो सामग्री को अनुमति देती हैं जिसे प्लगइन प्रस्तुत करता है।.
  2. एज फ़िल्टरिंग और आभासी पैचिंग: सर्वर-स्तरीय फ़िल्टर या WAF नियम लागू करें जो स्क्रिप्ट टैग या प्लगइन एंडपॉइंट्स को लक्षित करने वाले सामान्य XSS पेलोड्स वाले अनुरोधों को गिरा दें।.
  3. सामग्री सुरक्षा नीति (CSP): इनलाइन स्क्रिप्ट को ब्लॉक करने और स्क्रिप्ट स्रोतों को सीमित करने के लिए एक प्रतिबंधात्मक CSP लागू करें। लागू करने से पहले टूटने का पता लगाने के लिए रिपोर्ट-केवल मोड में शुरू करें।.
  4. अविश्वसनीय उपयोगकर्ताओं के लिए पूर्वावलोकन रेंडरिंग को निष्क्रिय करें: ऐसे प्रशासनिक संदर्भों में अविश्वसनीय सामग्री दिखाने से बचें जो पेलोड्स को निष्पादित कर सकते हैं।.
  5. सर्वर-साइड इनपुट फ़िल्टरिंग: PHP स्तर पर प्लगइन-विशिष्ट इनपुट को साफ़ करने के लिए हुक या मिडलवेयर जोड़ें।.
  6. लॉगिंग बढ़ाएँ: प्लगइन एंडपॉइंट्स और सामग्री निर्माण कार्यप्रवाहों के लिए अनुरोधों की निगरानी करें; संदिग्ध पैटर्न के लिए अलर्ट सेट करें।.
  7. संग्रहीत दुर्भावनापूर्ण पेलोड्स की खोज करें और हटाएँ: इंजेक्ट की गई सामग्री को हटाने के लिए लक्षित DB क्वेरी और मैनुअल समीक्षा का उपयोग करें।.

व्यावहारिक सुधार: चरण-दर-चरण मार्गदर्शिका

  1. पहले बैकअप लें: पुनर्प्राप्ति और फोरेंसिक तुलना के लिए परिवर्तनों से पहले फ़ाइलों और डेटाबेस का पूर्ण बैकअप लें।.
  2. प्लगइन को अपडेट करें: संरचित सामग्री को 1.7.0 या बाद के संस्करण में अपग्रेड करें; जहां संभव हो, स्टेजिंग में परीक्षण करें।.
  3. स्कैन और साफ करें: पोस्ट, मेटा और प्लगइन तालिकाओं में स्क्रिप्ट टैग, इनलाइन इवेंट हैंडलर्स, base64 ब्लॉब्स और अस्पष्ट पेलोड्स की खोज करें; हटाएँ या सुधारें।.
  4. क्रेडेंशियल्स को घुमाएँ और सत्रों को साफ़ करें: प्रशासकों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें और सत्रों को अमान्य करें।.
  5. पंजीकरण और भूमिकाओं को मजबूत करें: स्व-पंजीकरण को निष्क्रिय करें और संदिग्ध योगदानकर्ताओं को हटाएँ।.
  6. एज सुरक्षा लागू करें: ज्ञात शोषण पैटर्न को ब्लॉक करने के लिए WAF या सर्वर-साइड नियम सक्षम करें जबकि सफाई करते हैं।.
  7. मॉनिटर और फिर से स्कैन करें: लॉग की समीक्षा करना जारी रखें और पुनः सामग्री स्कैन चलाएं ताकि कोई पुनः संक्रमण न हो।.

डेवलपर्स के लिए: सुरक्षित कोडिंग चेकलिस्ट (XSS से बचने के लिए)

  • फ़ंक्शनों के साथ इनपुट को मान्य करें जैसे कि sanitize_text_field(), wp_kses(), intval().
  • संदर्भ-उपयुक्त फ़ंक्शनों का उपयोग करके आउटपुट को एस्केप करें: esc_html(), esc_attr(), wp_kses_post().
  • अविश्वसनीय उपयोगकर्ताओं से कच्चा HTML संग्रहीत करने से बचें; जब मार्कअप आवश्यक हो तो एक सख्त व्हाइटलिस्ट का उपयोग करें।.
  • क्रियाओं और AJAX एंडपॉइंट्स पर नॉनसेस और क्षमता जांच का उपयोग करें।.
  • यह सीमित करें कि योगदानकर्ता-स्तरीय इनपुट में क्या हो सकता है और कौन से UI घटक उन्हें प्रस्तुत करते हैं।.
  • उपयोगकर्ता-प्रदत्त सामग्री को आउटपुट करने वाले रेंडरिंग कोड पथों का यूनिट परीक्षण और समीक्षा करें।.

संदिग्ध सामग्री को सुरक्षित रूप से खोजने का तरीका (उदाहरण)

जहां संभव हो, स्टेजिंग में काम करें। गैर-नाशक खोजों के उदाहरण:

wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%' LIMIT 100;"
wp db query "SELECT post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%<script%' LIMIT 100;"

पोस्ट को निर्यात करें और स्थानीय रूप से grep करें 9. या विशेषताओं जैसे onload=, त्रुटि होने पर=, 11. साइट मालिकों के लिए तात्कालिक कदम, eval(, या दस्तावेज़.कुकी. कुछ भी हटाने से पहले मैन्युअल रूप से समीक्षा करें।.

घटना प्रतिक्रिया - यदि आपको समझौता होने का संदेह है

  1. यदि सक्रिय शोषण देखा जाता है तो साइट को ऑफ़लाइन ले जाएं या इसे रखरखाव मोड में रखें।.
  2. फोरेंसिक विश्लेषण के लिए साइट का स्नैपशॉट (फाइलें + DB) लें।.
  3. प्रवेश बिंदु और प्रभावित रिकॉर्ड की पहचान करें: किस उपयोगकर्ता ने पेलोड बनाया और कब।.
  4. डेटाबेस से पेलोड हटाएं या ज्ञात-अच्छे बैकअप से प्रभावित सामग्री को पुनर्स्थापित करें।.
  5. कमजोर प्लगइन को 1.7.0+ पर अपडेट करें और अन्य सुधार लागू करें।.
  6. क्रेडेंशियल्स को घुमाएं, सत्रों को अमान्य करें और API कुंजियों को रीसेट करें।.
  7. अतिरिक्त बैकडोर (दुष्ट फ़ाइलें, निर्धारित कार्य, अज्ञात उपयोगकर्ता) के लिए स्कैन करें।.
  8. यदि आप सभी कलाकृतियों को आत्मविश्वास से हटा नहीं सकते हैं, तो एक साफ बैकअप से पुनर्स्थापित करें।.

यदि आपको घटना प्रतिक्रिया की आवश्यकता है, तो यथाशीघ्र containment और फोरेंसिक्स के लिए एक अनुभवी सुरक्षा प्रदाता को संलग्न करें।.

रोकथाम: दीर्घकालिक कठिनाई और नीति सिफारिशें

  • न्यूनतम विशेषाधिकार का सिद्धांत: खातों को आवश्यक क्षमताओं तक सीमित करें और योगदानकर्ता स्तर के अधिकारों के व्यापक उपयोग से बचें।.
  • प्लगइन सूची: स्थापित प्लगइनों का ऑडिट करें और हमलों की सतह को कम करने के लिए अप्रयुक्त को हटा दें।.
  • त्वरित अपडेट: परीक्षण के बाद प्लगइन और कोर अपडेट लागू करें।.
  • चरणबद्ध रोलआउट: बड़े साइटों के लिए स्टेजिंग में अपडेट का परीक्षण करें और धीरे-धीरे लागू करें।.
  • प्रबंधित सुरक्षा: पहचानने के समय को कम करने के लिए परिधीय फ़िल्टरिंग, WAFs, और निगरानी स्कैनिंग उपकरणों पर विचार करें।.
  • सुरक्षित हेडर: शोषण के प्रभाव को कम करने के लिए CSP, X-Content-Type-Options, Referrer-Policy और X-Frame-Options का उपयोग करें।.
  • निरंतर निगरानी: परिवर्तनों को लॉग करें और नए व्यवस्थापक उपयोगकर्ताओं, सामूहिक संपादनों या अप्रत्याशित POST पेलोड जैसे असामान्य पैटर्न के लिए अलर्ट सेट करें।.

अक्सर पूछे जाने वाले प्रश्न (FAQ)

प्रश्न: मेरी साइट ने योगदानकर्ताओं को पोस्ट जोड़ने की अनुमति दी - क्या मैं जोखिम में हूँ?
उत्तर: संभवतः। यदि आपने 1.7.0 से पहले संरचित सामग्री का उपयोग किया है, तो योगदानकर्ता सबमिशन में संग्रहीत स्क्रिप्ट हो सकती हैं। सामग्री को अपडेट और ऑडिट करें।.

प्रश्न: क्या एक योगदानकर्ता मुझे हैक कर सकता है भले ही वह प्रकाशित नहीं कर सके?
उत्तर: हाँ। संग्रहीत XSS को तब सक्रिय किया जा सकता है जब व्यवस्थापक या संपादक सामग्री का पूर्वावलोकन या प्रबंधन करते हैं; इससे सत्र निकासी या विशेषाधिकार प्राप्त उपयोगकर्ता के ब्राउज़र द्वारा किए गए व्यवस्थापक क्रियाएँ हो सकती हैं।.

प्रश्न: यदि मैं प्लगइन को अपडेट करता हूँ, तो क्या यह मेरे डेटाबेस में पहले से संग्रहीत दुर्भावनापूर्ण सामग्री को साफ कर देता है?
उत्तर: नहीं। अपडेटिंग उस कोड पथ को ठीक करता है जिसने इंजेक्शन की अनुमति दी; आपको अलग से संग्रहीत दुर्भावनापूर्ण सामग्री को खोजकर हटाना होगा।.

प्रश्न: क्या CSP जोड़ने से मेरी साइट टूट जाएगी?
उत्तर: यदि गलत तरीके से कॉन्फ़िगर किया गया हो तो CSP कार्यक्षमता को तोड़ सकता है। प्रभाव का आकलन करने के लिए प्रारंभ में रिपोर्ट-केवल मोड का उपयोग करें, फिर धीरे-धीरे लागू करें।.

सुधार के बाद सत्यापन चेकलिस्ट

  • पुष्टि करें कि संरचित सामग्री 1.7.0 या बाद के संस्करण में अपडेट की गई है।.
  • यह सुनिश्चित करने के लिए पोस्ट, पोस्टमेटा और प्लगइन तालिकाओं को स्कैन करें कि कोई स्क्रिप्ट टैग या छिपे हुए पेलोड न रहें।.
  • पुष्टि करें कि योगदानकर्ता खाते उपयुक्त हैं और संदिग्ध उपयोगकर्ताओं को हटा दिया गया है।.
  • क्रेडेंशियल्स को घुमाएँ और प्रशासनिक उपयोगकर्ताओं के लिए फिर से प्रमाणीकरण करने के लिए मजबूर करें।.
  • लॉग की समीक्षा करें ताकि यह पुष्टि हो सके कि शोषण के प्रयास बंद हो गए हैं और कोई संदिग्ध गतिविधि जारी नहीं है।.

अंतिम नोट्स

संग्रहीत XSS एक सामान्य और शक्तिशाली वेक्टर बना रहता है क्योंकि यह सामान्य सामग्री कार्यप्रवाहों का लाभ उठाता है। संतुलित दृष्टिकोण तेज पैचिंग, हमले की सतह को कम करना, और स्तरित सुरक्षा है: कोड में साफ़ करना और बचाना, विशेषाधिकारों को प्रतिबंधित करना, सामग्री को स्कैन और साफ़ करना, और सुधार करते समय परिधीय सुरक्षा का उपयोग करना।.

यदि आपकी साइट बाहरी योगदानकर्ताओं को स्वीकार करती है, तो एक सतर्क दृष्टिकोण अपनाएँ: उन उपयोगकर्ताओं द्वारा प्रस्तुत की जाने वाली चीज़ों को प्रतिबंधित करें, और प्रशासनिक या सार्वजनिक संदर्भों में अविश्वसनीय HTML को प्रस्तुत करने के बारे में सतर्क रहें।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग एनजीओ वर्डप्रेस शॉपिफाई XSS की चेतावनी देता है(CVE20257808)

अगला लेख —

हांगकांग सुरक्षा सलाह वर्डप्रेस स्लाइडर SSRF(CVE20258680)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक चेतावनी टेबलप्रेस स्टोर की गई XSS भेद्यता (CVE20259500)

  • अगस्त 30, 2025
वर्डप्रेस टेबलप्रेस प्लगइन <= 3.2 - प्रमाणित (योगदानकर्ता+) स्टोर की गई क्रॉस-साइट स्क्रिप्टिंग शॉर्टकोड_debug पैरामीटर भेद्यता
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग एनजीओ ने वर्डप्रेस मूल्य निर्धारण कमजोरियों की चेतावनी दी (CVE20257662)

  • अगस्त 15, 2025
प्लगइन नाम Gestion de tarifs कमजोरियों का प्रकार प्रमाणित SQL इंजेक्शन CVE संख्या CVE-2025-7662 तात्कालिकता कम CVE प्रकाशित…
Wवर्डप्रेस भेद्यता डेटाबेस

वू-कॉमर्स मल्टीपल फ़ाइल अपलोड में महत्वपूर्ण भेद्यता (CVE20254403)

  • अगस्त 6, 2025
WooCommerce प्लगइन के लिए WordPress ड्रैग एंड ड्रॉप मल्टीपल फ़ाइल अपलोड <= 1.1.6 - अपलोड फ़ंक्शन के माध्यम से अनधिकृत मनमाना फ़ाइल अपलोड भेद्यता