Wवर्डप्रेस भेद्यता डेटाबेस

iXML XSS (CVE202514076) से हांगकांग साइटों की सुरक्षा करें

वर्डप्रेस iXML प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0
प्लगइन का नाम iXML
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2025-14076
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2026-02-23
स्रोत URL CVE-2025-14076

iXML में परावर्तित XSS (≤ 0.6) — वर्डप्रेस साइट मालिकों को अभी क्या करना चाहिए

तारीख: 2026-02-23   |   लेखक: हांगकांग सुरक्षा विशेषज्ञ

सलाह नोट: यह सलाह हाल ही में प्रकट की गई परावर्तित क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा कमजोरी को समझाती है जो iXML गूगल XML साइटमैप जनरेटर प्लगइन (संस्करण ≤ 0.6, CVE-2025-14076) में है। यह सलाह तकनीकी मुद्दे, हमले के परिदृश्य, पहचान संकेतक, आधिकारिक पैच से पहले लागू करने के लिए तात्कालिक उपाय, रखरखाव करने वालों के लिए सुरक्षित कोडिंग सुधार, और यदि समझौता संदेहास्पद है तो पुनर्प्राप्ति कदमों को कवर करती है। मार्गदर्शन व्यावहारिक, प्राथमिकता दी गई है, और एक परिचालन सुरक्षा प्रैक्टिशनर के दृष्टिकोण से लिखा गया है।.

कार्यकारी सारांश

एक परावर्तित क्रॉस-साइट स्क्रिप्टिंग सुरक्षा कमजोरी (CVE-2025-14076) iXML गूगल XML साइटमैप जनरेटर वर्डप्रेस प्लगइन (संस्करण 0.6 तक और शामिल) को प्रभावित करती है। प्लगइन एक अनुरोध पैरामीटर को दर्शाता है जिसका नाम है iXML_email बिना उचित आउटपुट एन्कोडिंग या स्वच्छता के प्रतिक्रियाओं में। एक हमलावर उस पैरामीटर के भीतर जावास्क्रिप्ट शामिल करते हुए एक URL तैयार कर सकता है; यदि एक पीड़ित उस URL को प्रमाणित (विशेष रूप से प्रशासकों) के रूप में खोलता है, तो स्क्रिप्ट साइट के संदर्भ में निष्पादित होती है।.

गंभीरता और प्रभाव संक्षेप में:

  • सामान्य गंभीरता: मध्यम से उच्च (उदाहरण सार्वजनिक रिपोर्ट ने ~7.1 का स्कोर उद्धृत किया)।.
  • आवश्यक विशेषाधिकार: बिना प्रमाणीकरण — एक हमलावर को लॉग इन करने की आवश्यकता नहीं है।.
  • उपयोगकर्ता इंटरैक्शन: आवश्यक — पीड़ित को एक तैयार लिंक खोलना होगा।.
  • जोखिम: सत्र चोरी (यदि कुकीज़ HttpOnly नहीं हैं), मजबूर प्रशासक क्रियाएँ, सामग्री विकृति, स्पैम सम्मिलन, मैलवेयर के लिए रीडायरेक्ट, और लक्षित प्रशासक फ़िशिंग जो साइट पर कब्जा करने की ओर ले जाती है।.

क्योंकि कई साइटें साइटमैप के लिए इस प्लगइन का उपयोग करती हैं, यह कमजोरी सामान्य आगंतुकों के खिलाफ और, अधिक खतरनाक रूप से, विशेषाधिकार वृद्धि और स्थिरता के लिए प्रशासकों के खिलाफ दुरुपयोग की जा सकती है।.

परावर्तित XSS वास्तव में क्या है और यह क्यों महत्वपूर्ण है

क्रॉस-साइट स्क्रिप्टिंग (XSS) एक समस्या है जहां एक एप्लिकेशन बिना सही सत्यापन या आउटपुट एस्केपिंग के एक ब्राउज़र को अविश्वसनीय डेटा प्रदान करता है। इसके प्रकार में शामिल हैं:

  • परावर्तित XSS — हमलावर द्वारा प्रदान किया गया पेलोड प्रतिक्रिया में परावर्तित होता है (आमतौर पर एक तैयार लिंक के माध्यम से)।.
  • स्टोर की गई XSS — दुर्भावनापूर्ण सामग्री सर्वर पर संग्रहीत होती है और कई उपयोगकर्ताओं को प्रदान की जाती है।.
  • DOM-आधारित XSS — क्लाइंट-साइड जावास्क्रिप्ट अविश्वसनीय डेटा को गलत तरीके से संभालती है।.

यह मामला परावर्तित XSS है। मुख्य निहितार्थ:

  • पेलोड जरूरी नहीं कि सर्वर पर संग्रहीत हो; इसे एक अनुरोध में शामिल किया जाता है और वापस प्रतिध्वनित किया जाता है।.
  • हमलावर आसानी से कमजोर प्लगइन चलाने वाली साइटों को लक्षित करने वाले दुर्भावनापूर्ण लिंक बनाने की प्रक्रिया को स्वचालित कर सकते हैं।.
  • यदि एक व्यवस्थापक प्रमाणित होते समय ऐसा लिंक क्लिक करता है, तो इंजेक्ट किया गया स्क्रिप्ट व्यवस्थापक संदर्भ में चलता है और विशेषाधिकार प्राप्त क्रियाएँ कर सकता है।.

वर्डप्रेस-विशिष्ट जोखिम बढ़ाने वाले:

  • व्यवस्थापक अक्सर लॉग इन रहते हुए साइट ब्राउज़ करते हैं और ईमेल या चैट से ऐसे लिंक पर क्लिक कर सकते हैं जो वैध प्रतीत होते हैं।.
  • प्लगइन्स अनजाने में पैरामीटर को बिना एस्केप किए प्रतिध्वनित कर सकते हैं, विशेष रूप से यदि उनका रखरखाव नहीं किया गया हो।.
  • प्रशासनिक खाते उपयोगकर्ताओं को जोड़ सकते हैं, प्लगइन्स/थीम्स स्थापित कर सकते हैं, या PHP फ़ाइलों को संपादित कर सकते हैं - क्रियाएँ जिन्हें एक हमलावर JavaScript के माध्यम से ट्रिगर कर सकता है यदि एक व्यवस्थापक से समझौता किया गया हो।.

किसे जोखिम है?

  • कोई भी वर्डप्रेस साइट जिसमें iXML प्लगइन सक्रिय है और संस्करण 0.6 या उससे पहले चल रहा है।.
  • साइट विज़िटर जो दुर्भावनापूर्ण पैरामीटर वाले तैयार किए गए URL खोलते हैं - iXML_email व्यवस्थापक सबसे उच्च मूल्य वाले लक्ष्य होते हैं।.
  • साइटें प्रतिबंधात्मक HTTP प्रतिक्रिया हेडर (जैसे एक सख्त सामग्री-सुरक्षा-नीति) की कमी वाली होती हैं।.

यदि आप iXML प्लगइन चलाते हैं, तो जोखिम मानें जब तक कि शमन लागू नहीं किया जाता या एक आधिकारिक पैच स्थापित नहीं किया जाता।.

एक हमलावर इसको कैसे शोषण करेगा (उच्च स्तर)

  1. एक URL तैयार करें जिसमें पेलोड हो iXML_email पैरामीटर में। उदाहरण (संकल्पनात्मक; वर्ण एस्केप किए गए): https://example.com/?iXML_email=<script>/*malicious*/</script>.
  2. प्लगइन पैरामीटर को HTML प्रतिक्रिया में एन्कोडिंग या स्वच्छता के बिना प्रतिध्वनित करता है।.
  3. पीड़ित URL खोलता है (फिशिंग, दुर्भावनापूर्ण ईमेल, या सामाजिक इंजीनियरिंग के माध्यम से)।.
  4. JavaScript पीड़ित के ब्राउज़र में साइट के मूल के साथ निष्पादित होता है। यदि पीड़ित एक व्यवस्थापक है, तो स्क्रिप्ट सुलभ कुकीज़/स्थानीय संग्रह पढ़ सकती है, प्रमाणित AJAX कॉल कर सकती है, उपयोगकर्ता बना सकती है, बैकडोर स्थापित कर सकती है, सामग्री को संशोधित कर सकती है, या डेटा को बाहर निकाल सकती है।.

क्योंकि व्यवस्थापक-लक्षित फिशिंग एक वास्तविकistic हमले का वेक्टर है, इस कमजोरियों को उच्च प्राथमिकता के रूप में मानें जहाँ व्यवस्थापक उजागर हो सकते हैं।.

जिम्मेदार प्रकटीकरण स्थिति और पैच उपलब्धता

यह मुद्दा सार्वजनिक रूप से प्रकट किया गया है और इसे CVE-2025-14076 सौंपा गया है। प्रकट होने के समय, प्रभावित प्लगइन संस्करणों के लिए कोई आधिकारिक पैच उपलब्ध नहीं था। जब विक्रेता का पैच जारी किया जाएगा, तो तुरंत अपडेट करें; तब तक, नीचे दिए गए उपायों को लागू करें।.

साइट के मालिकों के लिए तत्काल उपाय — अभी क्या करें

यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्राथमिकता के क्रम में इन चरणों का पालन करें:

1. सूची और मूल्यांकन (5–15 मिनट)

  • पुष्टि करें कि क्या iXML स्थापित है और इसका संस्करण नोट करें: डैशबोर्ड → प्लगइन्स।.
  • यदि संस्करण ≤ 0.6 है, तो प्लगइन को संवेदनशील मानें और जहां संभव हो, इसे ऑफलाइन करने पर विचार करें।.

2. अस्थायी कठोर कदम

  • पैच उपलब्ध होने तक iXML प्लगइन को निष्क्रिय करें। यदि साइटमैप आवश्यक है, तो इसे WordPress कोर या किसी अन्य विश्वसनीय विधि का उपयोग करके उत्पन्न करें।.
  • यदि निष्क्रिय करना संभव नहीं है, तो उस एंडपॉइंट तक पहुंच को प्रतिबंधित करें जो दर्शाता है iXML_email वेब सर्वर नियमों (NGINX/Apache) या परिधीय फ़िल्टरिंग का उपयोग करके।.

संदिग्ध मानों को अवरुद्ध करने वाले परिधीय नियम लागू करें iXML_email पैरामीटर (उदाहरण के लिए, HTML टैग या JavaScript पैटर्न जैसे मानों को अवरुद्ध करें <script>, त्रुटि होने पर=, जावास्क्रिप्ट:)। यदि आप एक प्रबंधित फ़ायरवॉल संचालित करते हैं, तो उपयुक्त उपाय नियम सक्षम करें; यदि स्वयं-होस्टिंग कर रहे हैं, तो ModSecurity या NGINX नियम लागू करें।.

वैकल्पिक ModSecurity नियम (उदाहरण — तैनाती से पहले परीक्षण करें):

SecRule ARGS:iXML_email "@rx (<|%3C).*?(script|onerror|onload|javascript:)" "id:1001001,phase:2,deny,log,msg:'Block attempted XSS via iXML_email parameter'"

झूठे सकारात्मक से बचने के लिए नियमों को सावधानी से समायोजित करें। ईमेल जैसे फ़ील्ड के लिए, व्यापक उपस्ट्रिंग अवरोधन के बजाय सख्त ईमेल-फॉर्मेट मान्यता को प्राथमिकता दें।.

4. रक्षात्मक HTTP हेडर

  • सामग्री-सुरक्षा-नीति (CSP): एक सख्त नीति को प्राथमिकता दें जो इनलाइन स्क्रिप्टों की अनुमति नहीं देती (यदि इनलाइन स्क्रिप्ट आवश्यक हैं तो नॉनसेस या हैश का उपयोग करें)।.
  • X-Content-Type-Options: nosniff
  • संदर्भ-नीति: कड़े-उत्पत्ति-जब-क्रॉस-उत्पत्ति
  • X-Frame-Options: DENY
  • HttpOnly और Secure फ़्लैग के साथ कुकीज़ सेट करें; सुनिश्चित करें कि जहां संभव हो, WordPress ऑथ कुकीज़ HttpOnly हैं।.

5. प्रशासनिक एक्सपोजर को कम करें

  • व्यवस्थापक के रूप में लॉग इन करते समय अविश्वसनीय लिंक पर क्लिक करने से बचें।.
  • प्रशासनिक कार्यों के लिए ब्राउज़र पृथक्करण पर विचार करें (प्रशासन सत्रों के लिए एक समर्पित ब्राउज़र/प्रोफ़ाइल का उपयोग करें)।.
  • व्यवस्थापक लॉगिन के लिए दो-कारक प्रमाणीकरण (2FA) की आवश्यकता करें; 2FA एक बाधा जोड़ता है भले ही सत्र टोकन उजागर हों।.

6. निगरानी और पहचान

अनुरोधों के लिए सर्वर एक्सेस लॉग खोजें जो शामिल हैं iXML_email. कोणीय ब्रैकेट की तलाश करें, script, एन्कोडेड समकक्ष (%3C, %3E), या अन्य इंजेक्शन पैटर्न।.

grep -i "iXML_email" /var/log/nginx/access.log
sudo zgrep -i "iXML_email=.*%3Cscript" /var/log/apache2/access.log*

इसके अलावा निगरानी करें:

  • अप्रत्याशित नए उपयोगकर्ता, विशेष रूप से व्यवस्थापक भूमिकाओं के साथ।.
  • हाल की फ़ाइल संशोधनें wp-content (थीम, प्लगइन्स, अपलोड)।.
  • अप्रत्याशित अनुसूचित कार्य या आउटबाउंड नेटवर्क कनेक्शन।.

7. यदि आप संदिग्ध गतिविधि देखते हैं — तात्कालिक कार्रवाई

  • साइट को रखरखाव मोड में डालें ताकि आगे की एक्सपोजर को सीमित किया जा सके।.
  • फोरेंसिक विश्लेषण के लिए एक पूर्ण फ़ाइल और डेटाबेस बैकअप बनाएं।.
  • सभी व्यवस्थापक पासवर्ड रीसेट करें और एपीआई कुंजियों को घुमाएँ।.
  • मैलवेयर और बैकडोर के लिए स्कैन करें; संक्रमित फ़ाइलों को हटा दें या विश्वसनीय स्रोतों से साफ़ प्रतियों के साथ बदलें।.

पहचान तकनीकें और समझौते के संकेत (IoCs)

निम्नलिखित संकेतकों की तलाश करें:

  • लॉग प्रविष्टियों तक पहुँच के साथ iXML_email जिसमें <, script, त्रुटि पर, लोड होने पर, जावास्क्रिप्ट:, या एन्कोडेड समकक्ष।.
  • अजीब समय पर व्यवस्थापक क्रियाएँ या ज्ञात व्यवस्थापकों द्वारा नहीं की गई क्रियाएँ।.
  • नए प्रशासनिक उपयोगकर्ता, अप्रत्याशित प्लगइन/थीम इंस्टॉलेशन, या संशोधित PHP फ़ाइलें।.
  • छोटे अस्पष्ट PHP फ़ाइलें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं। या थीम/प्लगइन निर्देशिकाओं में (सामान्य बैकडोर पैटर्न)।.
  • असामान्य आउटबाउंड ट्रैफ़िक या साइट से ईमेल भेजने की गतिविधि में वृद्धि।.

लॉग खोजने के लिए उदाहरण कमांड (उचित विशेषाधिकारों के साथ उपयोग करें):

sudo zgrep -i "iXML_email" /var/log/nginx/access.log*
sudo zgrep -i "iXML_email=.*%3Cscript" /var/log/apache2/access.log*

प्लगइन डेवलपर्स के लिए सुरक्षित पैच कोड का नमूना

मुख्य समाधान कच्चे उपयोगकर्ता इनपुट को इको करना बंद करना और आउटपुट संदर्भ के लिए एस्केप करना है। नीचे दिए गए उदाहरण वर्डप्रेस सफाई और एस्केपिंग हेल्पर्स का उपयोग करते हैं।.

कमजोर पैटर्न (उपयोग न करें):

<?php

जब मान एक ईमेल होना चाहिए तो अनुशंसित पैटर्न:

<?php

यदि मान स्वतंत्र-फॉर्म पाठ है न कि एक ईमेल:

<?php

मार्गदर्शन:

  • उपयोग करें esc_attr() विशेषता संदर्भों के लिए, esc_js() या wp_json_encode() जावास्क्रिप्ट संदर्भों के लिए, और wp_kses() जब HTML के नियंत्रित उपसमुच्चय की अनुमति दी जा रही हो।.
  • इनपुट को सर्वर-साइड पर मान्य करें; केवल क्लाइंट-साइड जांच पर निर्भर न रहें।.
  • प्रशासन-समर्थन क्रियाओं के लिए क्षमता जांच और नॉनस लागू करें।.

डेवलपर्स के लिए हार्डनिंग मार्गदर्शन (दीर्घकालिक)

  1. आउटपुट संदर्भ के लिए एस्केप करें — esc_html(), esc_attr(), esc_js(), wp_kses() जैसे उपयुक्त हो।.
  2. अंतर्निहित सहायक उपकरणों के साथ इनपुट को मान्य और स्वच्छ करें (sanitize_email(), sanitize_text_field(), आदि)।.
  3. संवेदनशील प्रशासन अंत बिंदुओं को प्रमाणित रखें और जहां संभव हो, सार्वजनिक पहुंच से बाहर रखें।.
  4. अंत बिंदुओं को उजागर करते समय, सख्त REST API का उपयोग करें permission_callback जांचें।.
  5. कोड समीक्षा, स्थैतिक विश्लेषण, और इनपुट हैंडलिंग और एस्केपिंग गलतियों पर केंद्रित लक्षित फज़िंग अपनाएं।.
  6. स्पष्ट अपग्रेड नोट्स और एक प्रकटीकरण चैनल प्रदान करें ताकि उपयोगकर्ता सुरक्षा सुधारों पर तेजी से प्रतिक्रिया कर सकें।.

यदि आप पहले से ही हमले का शिकार हो चुके हैं — पुनर्प्राप्ति चेकलिस्ट

  1. साइट को अलग करें — रखरखाव मोड सक्षम करें या इसे ऑफलाइन ले जाएं ताकि आगे के नुकसान को सीमित किया जा सके।.
  2. सबूत को संरक्षित करें — फ़ाइल सिस्टम और डेटाबेस के बैकअप लें और विश्लेषण के लिए उन्हें ऑफलाइन स्टोर करें।.
  3. दुर्भावनापूर्ण फ़ाइलों को स्कैन और हटा दें — स्वचालित उपकरणों को मैनुअल समीक्षा के साथ मिलाएं; संक्रमित PHP फ़ाइलों को स्वच्छ प्रतियों से बदलें।.
  4. यदि उपलब्ध हो और समझौते से पहले की पुष्टि की गई हो, तो स्वच्छ बैकअप से पुनर्स्थापित करें।.
  5. क्रेडेंशियल्स को घुमाएं — वर्डप्रेस प्रशासन पासवर्ड, डेटाबेस क्रेडेंशियल्स, FTP/SFTP, होस्टिंग नियंत्रण पैनल, और API कुंजी।.
  6. शमन को फिर से पेश करें — साइट को ऑनलाइन लाने से पहले परिधीय नियम और सख्त हेडर सक्षम करें।.
  7. बाहरी सफाई — जांचें कि क्या खोज इंजनों ने इंजेक्टेड पृष्ठों को अनुक्रमित किया है और यदि ब्लैकलिस्टेड है तो पुनर्मूल्यांकन का अनुरोध करें।.
  8. एक पोस्ट-मॉर्टम करें — मूल कारण की पहचान करें, अंतराल बंद करें, और निरंतर निगरानी लागू करें।.

देखने के लिए व्यावहारिक लॉग पैटर्न (स्वच्छ उदाहरण)

झंडा लगाने के लिए सामान्य पैटर्न (स्वच्छ):

  • ?iXML_email=%3Cscript%3E...%3C%2Fscript%3E
  • ?iXML_email= (सुरक्षा के लिए एस्केप किया गया)
  • इनलाइन इवेंट हैंडलर जैसे ?iXML_email=नमस्ते" onerror="..."
  • ?iXML_email=जावास्क्रिप्ट: छद्म-प्रोटोकॉल का उपयोग

संचालन संबंधी विचार — झूठे सकारात्मक और ट्यूनिंग

वैध ट्रैफ़िक को तोड़ने से बचने के लिए परिधीय नियमों को ट्यून करना महत्वपूर्ण है:

  • जिन पैरामीटर की अपेक्षा ईमेल होने की है, उनके लिए एक सख्त ईमेल regex लागू करें और जो मेल नहीं खाता उसे अस्वीकार करें।.
  • गैर-ईमेल फ़ील्ड के लिए, संवेदनशील अनुमति सूचियों को प्राथमिकता दें या प्रमाणीकरण की आवश्यकता करें।.
  • पहले ऑडिट मोड में ModSecurity/NGINX नियम लागू करें, झूठे सकारात्मक के लिए लॉग की समीक्षा करें, फिर जब विश्वास हो तो ब्लॉकिंग सक्षम करें।.
  • यदि आप तुरंत प्लगइन हटा नहीं सकते हैं, तो आभासी पैचिंग और पहुंच प्रतिबंध को प्राथमिकता दें।.

प्लगइन लेखकों के लिए डेवलपर चेकलिस्ट (त्वरित संदर्भ)

  • कभी भी उपयोगकर्ता इनपुट को सीधे न दिखाएं; हमेशा इच्छित संदर्भ के लिए एस्केप करें।.
  • WordPress की सफाई और एस्केपिंग हेल्पर्स का लगातार उपयोग करें।.
  • इनपुट को मान्य करें — जहां उपयुक्त हो, एक मान्य ईमेल की आवश्यकता करें।.
  • प्रशासनिक कार्यों के लिए नॉनसेस और क्षमता जांच का उपयोग करें।.
  • तीसरे पक्ष की लाइब्रेरी को अद्यतित रखें और एक स्पष्ट चेंज लॉग बनाए रखें।.

जोखिम प्राथमिकता पर एक अंतिम शब्द

परावर्तित XSS अक्सर उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है, जो इसे कम आंका जा सकता है। हालाँकि, जब प्रशासक संभावित लक्ष्य होते हैं, तो प्रभाव गंभीर होता है: एक क्लिक किया गया लिंक साइट पर कब्जा करने का कारण बन सकता है। सक्रिय प्लगइनों को प्रभावित करने वाले XSS कमजोरियों को उच्च प्राथमिकता के रूप में मानें, विशेष रूप से यदि प्लगइन में सक्रिय रखरखाव की कमी है या विक्रेता का पैच अभी उपलब्ध नहीं है।.

सारांश चेकलिस्ट — तात्कालिक कार्रवाई सूची (कॉपी/पेस्ट)

  • जांचें कि iXML प्लगइन स्थापित है और संस्करण की पुष्टि करें (≤ 0.6 = संवेदनशील)।.
  • यदि संभव हो, तो विक्रेता पैच जारी होने तक iXML प्लगइन को निष्क्रिय करें।.
  • पेरिमिटर/WAF नियम लागू करें ताकि पेलोड को ब्लॉक किया जा सके iXML_email और संबंधित पैरामीटर।.
  • HTTP प्रतिक्रिया हेडर जोड़ें या सत्यापित करें (CSP, X-Content-Type-Options, X-Frame-Options)।.
  • लॉग में खोजें iXML_email अनुरोधों और पेलोड संकेतकों।.
  • मजबूत प्रशासनिक सुरक्षा लागू करें (मजबूत पासवर्ड और 2FA)।.
  • यदि समझौते के संकेत हैं: अलग करें, बैकअप लें, स्कैन करें, मैलवेयर हटाएं, क्रेडेंशियल्स बदलें।.
  • यदि साइट पर अधिग्रहण के सबूत हैं, तो एक घटना प्रतिक्रिया पेशेवर को शामिल करने पर विचार करें।.

सहायता की आवश्यकता है?

यदि आपको वर्चुअल पैचिंग, घटना प्रतिक्रिया, लॉग समीक्षा, या सफाई में सहायता की आवश्यकता है, तो एक योग्य सुरक्षा सलाहकार या आपके होस्टिंग प्रदाता की सुरक्षा टीम से संपर्क करें। त्वरित प्रतिक्रिया जोखिम की खिड़की को कम करती है — यदि प्लगइन उत्पादन साइटों पर मौजूद है तो जल्दी कार्रवाई करें।.

हम इस सलाह को अपडेट करेंगे जब आधिकारिक पैच प्रकाशित होंगे और आगे तकनीकी विवरण सामने आएंगे। सतर्क रहें और यदि प्रभावित प्लगइन आपकी साइट पर सक्रिय है तो शमन को प्राथमिकता दें।.

— हांगकांग सुरक्षा विशेषज्ञ

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा चेतावनी मनमाने फ़ाइल अपलोड (CVE202627540)

अगला लेख —

एचके सुरक्षा चेतावनी आसान लेखक छवि XSS (CVE20261373)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह योगदानकर्ता संग्रहीत XSS(CVE20259346)

  • अगस्त 28, 2025
वर्डप्रेस बुकिंग कैलेंडर प्लगइन <= 10.14.1 - प्रमाणित (योगदानकर्ता+) संग्रहीत क्रॉस-साइट स्क्रिप्टिंग कमजोरियों