Wवर्डप्रेस भेद्यता डेटाबेस

पेयटियम से हांगकांग वर्डप्रेस उपयोगकर्ताओं की सुरक्षा करें (CVE20237288)

वर्डप्रेस पेयटियम प्लगइन में टूटी हुई एक्सेस नियंत्रण
0
शेयर
0
0
0
0
प्लगइन का नाम पेयटियम
कमजोरियों का प्रकार एक्सेस नियंत्रण कमजोरियों
CVE संख्या CVE-2023-7288
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-02-16
स्रोत URL CVE-2023-7288

Paytium में टूटी हुई एक्सेस नियंत्रण (CVE-2023-7288) — वर्डप्रेस साइट के मालिकों को क्या जानना चाहिए

एक हांगकांग सुरक्षा विशेषज्ञ द्वारा — 2026-02-16

16 फरवरी 2026 को वर्डप्रेस के लिए Paytium प्लगइन में एक टूटी हुई एक्सेस नियंत्रण सुरक्षा कमजोरी का सार्वजनिक रूप से खुलासा किया गया (CVE-2023-7288)। यह समस्या Paytium के संस्करण 4.3.7 तक और उसमें शामिल संस्करणों को प्रभावित करती है और इसे संस्करण 4.4 में ठीक किया गया। इस कमजोरी को टूटी हुई एक्सेस नियंत्रण (OWASP A5) के रूप में वर्गीकृत किया गया है, जिसमें CVSSv3 का आधार स्कोर 5.4 है। यह एक क्रिया में एक अनुपस्थित प्राधिकरण जांच से उत्पन्न होती है जिसका नाम है update_profile_preference, जिसने सब्सक्राइबर-स्तरीय विशेषाधिकार वाले खातों को ऐसी कार्यक्षमता को कॉल करने की अनुमति दी जिसे उन्हें अनुमति नहीं दी जानी चाहिए थी।.

यदि आप वर्डप्रेस साइट चलाते हैं जो दान, भुगतान फॉर्म स्वीकार करती हैं, या अन्यथा Paytium का उपयोग करती हैं, तो इस पोस्ट को ध्यान से पढ़ें। नीचे मैं तकनीकी विवरण, हमलावरों द्वारा इसका दुरुपयोग कैसे किया जा सकता है, पहचान और शमन के कदम (वर्चुअल पैचिंग तकनीकों सहित), और साइट के मालिकों और होस्ट के लिए व्यावहारिक संचालन मार्गदर्शन समझाता हूँ।.

त्वरित सारांश — हर साइट के मालिक को अभी क्या करना चाहिए

  • तुरंत Paytium को संस्करण 4.4 या बाद के संस्करण में अपडेट करें। इस रिलीज़ में सुधार शामिल है।.
  • यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो नियंत्रण उपाय लागू करें:
    • उन अनुरोधों को ब्लॉक करें जो कॉल करने का प्रयास करते हैं update_profile_preference (व्यवस्थापक-एजाक्स या REST के माध्यम से) अपने फ़ायरवॉल या ModSecurity नियमों का उपयोग करके।.
    • उच्च जोखिम वाली साइटों के लिए Paytium प्लगइन को अस्थायी रूप से निष्क्रिय करें जब तक अपडेट स्थापित नहीं हो जाता।.
  • संदिग्ध गतिविधियों के लिए अपनी साइट का ऑडिट करें (उपयोगकर्ता परिवर्तन, प्रोफ़ाइल अपडेट, दान/भुगतान कॉन्फ़िगरेशन संपादन)।.
  • पंजीकरण और सब्सक्राइबर खातों को मजबूत करें (साइनअप की दर सीमित करें, सत्यापन की आवश्यकता करें, CAPTCHA जोड़ें)।.

भेद्यता वास्तव में क्या है?

यह कमजोरी प्लगइन रूटीन के अंदर एक अनुपस्थित प्राधिकरण जांच से उत्पन्न होती है जो प्रोफ़ाइल प्राथमिकता अपडेट को संभालने के लिए जिम्मेदार है (क्रिया update_profile_preference)। संक्षेप में:

  • प्लगइन ने प्रोफ़ाइल प्राथमिकताओं को अपडेट करने के लिए एक AJAX या कॉलबैक क्रिया को उजागर किया।.
  • उस क्रिया ने यह सत्यापित नहीं किया कि कॉल करने वाले के पास सही क्षमता या एक मान्य नॉनस (एक वर्डप्रेस एंटी-CSRF टोकन) था।.
  • परिणामस्वरूप, न्यूनतम विशेषाधिकार वाले खाते (रिपोर्ट में “सब्सक्राइबर” का संकेत है) उन तरीकों से क्रिया को ट्रिगर कर सकते थे जिन्हें उन्हें अनुमति नहीं दी जानी चाहिए थी।.

टूटी हुई एक्सेस नियंत्रण उन स्थितियों को कवर करता है जहां कोड उपयोगकर्ताओं को ऐसे कार्य करने की अनुमति देता है जो उन्हें नहीं करने चाहिए। भले ही तत्काल प्रभाव सीमित हो, अनुमोदन जांचों की कमी खतरनाक होती है क्योंकि इन्हें अन्य मुद्दों के साथ जोड़ा जा सकता है जिससे जोखिम बढ़ता है।.

  • प्रभावित संस्करण: Paytium <= 4.3.7
  • ठीक किया गया: Paytium 4.4
  • CVE: CVE-2023-7288
  • वर्गीकरण: टूटी हुई एक्सेस नियंत्रण (OWASP A5)
  • पैच प्राथमिकता: कम (लेकिन फिर भी महत्वपूर्ण)
  • सामान्य रूप से शोषित वेक्टर: कम विशेषाधिकार वाले प्रमाणित उपयोगकर्ता बिना अनुमोदन जांच के एक क्रिया को कॉल करते हैं

यह क्यों महत्वपूर्ण है भले ही CVSS स्कोर “मध्यम” हो”

CVSS एक आधारभूत संख्या देता है लेकिन पूरा संदर्भ नहीं। विचार करें:

  • कई साइटें सदस्य-स्तरीय खातों की अनुमति देती हैं (फॉर्म, दानकर्ता, सदस्यताएँ)। एक हमलावर जो खाते पंजीकृत कर सकता है वह इस कमजोरी का परीक्षण कर सकता है।.
  • प्लगइन भुगतान और दान फॉर्म को संभालता है। छोटे प्राथमिकता परिवर्तनों से भुगतान प्रवाह या सूचनाओं पर प्रभाव पड़ सकता है और यह श्रृंखलाबद्ध हमलों में उपयोगी हो सकता है।.
  • अनुमोदन जांचों की कमी सामान्य डेवलपर गलतियाँ हैं और यह कोडबेस में अन्य असुरक्षित एंडपॉइंट्स का संकेत दे सकती हैं।.

मुद्दे को कार्यान्वयन योग्य मानें: प्लगइन को अपडेट करें और जहां संभव हो सुरक्षा जोड़ें।.

एक शोषण कैसे दिख सकता है (तकनीकी अवलोकन)

सामान्य मार्ग:

  1. प्लगइन एक AJAX क्रिया या REST एंडपॉइंट पंजीकृत करता है जिसका नाम update_profile_preference.
  2. एक लॉगिन किया हुआ उपयोगकर्ता (सदस्य या समान) एक POST भेजता है /wp-admin/admin-ajax.php के साथ action=update_profile_preference और प्राथमिकता मान।.
  3. प्लगइन एक nonce या आवश्यक क्षमता की पुष्टि किए बिना अनुरोध को संसाधित करता है।.
  4. क्योंकि कोई प्राधिकरण लागू नहीं किया गया है, अनुरोध स्वीकार किया जाता है और प्राथमिकताएँ अपडेट की जाती हैं।.

संभावित हमलावर के लक्ष्य:

  • हमलावर खाते के लिए प्रोफ़ाइल से संबंधित सेटिंग्स को बदलना ताकि प्लगइन के व्यवहार को प्रभावित किया जा सके।.
  • यदि उपयोगकर्ता आईडी पैरामीटर बिना जांच के स्वीकार किया जाता है, तो किसी अन्य उपयोगकर्ता की प्राथमिकताओं को बदलने का प्रयास करें।.
  • सूचनाओं, ईमेल, या भुगतान से संबंधित प्राथमिकताओं में हेरफेर करें ताकि प्रवाह को बाधित किया जा सके या जानकारी प्राप्त की जा सके।.
  • इस कमजोरी को अन्य गलत कॉन्फ़िगरेशन के साथ मिलाकर विशेषाधिकार बढ़ाने या भुगतान को बाधित करने के लिए।.

इस भेद्यता के व्यापक रूप से शोषण किए जाने का कोई सार्वजनिक प्रमाण नहीं है, लेकिन सक्रिय सुरक्षा उचित है।.

पहचान: लॉग और wp-admin में क्या देखना है

एक्सेस और एप्लिकेशन लॉग से शुरू करें। संदिग्ध क्रिया या अपडेट एंडपॉइंट्स को कॉल करने वाले अनुरोधों की तलाश करें।.

सामान्य संकेतक:

  • POST करना /wp-admin/admin-ajax.php पैरामीटर के साथ action=update_profile_preference
  • REST एंडपॉइंट्स पर POST जैसे /wp-json/paytium/v1/... समान पेलोड्स को शामिल करते हुए
  • संदिग्ध या अनुपस्थित वर्डप्रेस नॉन्स के साथ अनुरोध
  • सब्सक्राइबर भूमिका वाले प्रमाणित खातों से अपडेट करने वाले अनुरोध
  • अप्रत्याशित प्रोफ़ाइल प्राथमिकता परिवर्तन में 9. wp_usermeta

उदाहरण पहचान पैटर्न:

action=update_profile_preference"

शेल/grep उदाहरण:

grep "admin-ajax.php" access.log | grep "action=update_profile_preference"

वर्डप्रेस ऑडिट लॉग में, प्रोफ़ाइल परिवर्तनों और नए उपयोगकर्ता पंजीकरणों के लिए खोजें, जिसके बाद तुरंत प्रोफ़ाइल अपडेट होते हैं। यदि आपके पास विस्तृत लॉगिंग की कमी है, तो जांच करते समय अस्थायी रूप से अनुरोध लॉगिंग सक्षम करें।.

साइट मालिकों के लिए तात्कालिक कदम (नियंत्रण और सुधार)

  1. Paytium को 4.4 या बाद के संस्करण में अपडेट करें — यह सीधा समाधान है।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अपने फ़ायरवॉल या वेब होस्ट के माध्यम से कार्रवाई को ब्लॉक करें।
    • उन POSTs को ब्लॉक करें जो कॉल करते हैं update_profile_preference जब तक वे एक मान्य नॉनस शामिल नहीं करते या विश्वसनीय व्यवस्थापक IPs से उत्पन्न नहीं होते।.
    • अनुरोध पैटर्न को अस्वीकार करने के लिए एक ModSecurity नियम, होस्ट-स्तरीय नियम, या समान आभासी पैच लागू करें।.
  3. Paytium प्लगइन को अस्थायी रूप से निष्क्रिय करें यदि यह गैर-आवश्यक है और आप डाउनटाइम सहन कर सकते हैं।.
  4. खाता निर्माण और सदस्य पहुंच को मजबूत करें — पंजीकरण को सीमित करें, ईमेल सत्यापन की आवश्यकता करें, CAPTCHA जोड़ें, नए खातों की समीक्षा करें।.
  5. क्रेडेंशियल्स का ऑडिट और रोटेट करें — यदि संदिग्ध परिवर्तन पाए जाते हैं, तो व्यवस्थापक पासवर्ड और किसी भी API/भुगतान कुंजी को बदलें।.
  6. समझौते के संकेतों के लिए खोजें — अनधिकृत प्रोफ़ाइल परिवर्तनों, संशोधित प्लगइन फ़ाइलों, जोड़े गए व्यवस्थापक उपयोगकर्ताओं, और परिवर्तित अनुसूचित कार्यों की जांच करें।.
  7. निगरानी सक्षम करें — फ़ाइल अखंडता स्कैनिंग, मैलवेयर स्कैनिंग, और निरंतर फ़ायरवॉल नियम पोस्ट-एक्सप्लॉइट कलाकृतियों का पता लगाने में मदद करते हैं।.

यदि अपडेट में देरी होती है (जटिल मल्टीसाइट, अनुकूलन), तो अस्थायी प्राधिकरण गार्ड के रूप में एक mu-plugin जोड़ें ताकि कमजोर कार्रवाई के लिए कॉल को शॉर्ट-सर्किट किया जा सके।.

AJAX कार्रवाई को ब्लॉक करने के लिए उदाहरण mu-plugin (ड्रॉप-इन) जब तक कॉलर के पास आवश्यक क्षमता या नॉनस न हो:

<?php;

चेतावनी: यह एक सीधा अस्थायी समाधान है। यदि प्लगइन को वैध रूप से सब्सक्राइबरों को अपनी प्राथमिकताएँ अपडेट करने की आवश्यकता है, तो वैध आत्म-अपडेट की अनुमति देने के लिए लॉजिक को समायोजित करें और नॉनसेस को मान्य करें। check_ajax_referer(). यहाँ लक्ष्य यह है कि जब तक आप आधिकारिक पैच लागू नहीं कर सकते, तब तक समय खरीदा जा सके।.

डेवलपर सर्वोत्तम प्रथाएँ:

  • हमेशा क्षमता जांच का उपयोग करें: current_user_can().
  • AJAX एंडपॉइंट्स पर नॉनसेस को मान्य करें: check_ajax_referer().
  • REST एंडपॉइंट्स के लिए, उचित अनुमति कॉलबैक का उपयोग करें। register_rest_route().
  • निम्न-विशेषाधिकार वाले उपयोगकर्ताओं से मनमाने उपयोगकर्ता आईडी स्वीकार करने से बचें।.
  • AJAX/REST एंडपॉइंट्स के लिए अनुमति व्यवहार को सत्यापित करने वाले यूनिट परीक्षण जोड़ें।.

समस्या को आभासी रूप से पैच करने के लिए उदाहरण WAF/ModSecurity नियम।

नीचे एक नमूना ModSecurity-शैली का नियम है जिसे आप अनुकूलित कर सकते हैं। उत्पादन में तैनात करने से पहले स्टेजिंग में परीक्षण करें।.

# संदिग्ध admin-ajax कॉल को अवरुद्ध करें जो update_profile_preference को सक्रिय करने की कोशिश कर रहे हैं।"

एक अधिक अनुमति देने वाला संस्करण उन अनुरोधों की अनुमति देगा यदि वे एक वैध WordPress नॉनसेस शामिल करते हैं या व्हाइटलिस्टेड एडमिन आईपी से उत्पन्न होते हैं। होस्ट-स्तरीय आभासी पैचिंग कई साइटों की सुरक्षा के लिए एक प्रभावी तरीका है जब तक अपडेट लागू नहीं होते।.

परिचालन सुरक्षा और प्रबंधित नियंत्रण क्या करते हैं।

चाहे आप होस्ट-स्तरीय नियमों, एक इनलाइन WAF, या एक प्रबंधित सुरक्षा सेवा का उपयोग करें, इन क्षमताओं की तलाश करें:

  • आभासी पैचिंग: नियम लागू करें जो कमजोर क्रिया को सक्रिय करने के लिए उपयोग किए जाने वाले सटीक अनुरोध पैटर्न को अवरुद्ध करते हैं।.
  • व्यवहारिक पहचान: उन सब्सक्राइबरों की पहचान करें जो प्रशासन-जैसी गतिविधियाँ कर रहे हैं या REST/AJAX कॉल में विसंगतियाँ।.
  • फ़ाइल अखंडता और मैलवेयर स्कैनिंग: सफल शोषण के संकेतों का पता लगाएँ, जैसे संशोधित फ़ाइलें या इंजेक्टेड कोड।.
  • केंद्रीकृत लॉगिंग और अलर्ट: जब शोषण प्रयासों को अवरुद्ध किया जाता है तो प्रशासकों को सूचित करें ताकि वे प्रतिक्रिया कर सकें।.

घटना प्रतिक्रिया प्लेबुक — चरण-दर-चरण

  1. अलग करें और नियंत्रित करें।
    • यदि आवश्यक हो तो साइट को रखरखाव मोड में डालें।.
    • हमले के वेक्टर को अवरुद्ध करने वाले फ़ायरवॉल नियम सक्रिय करें।.
    • असुरक्षित प्लगइन को अस्थायी रूप से निष्क्रिय या प्रतिबंधित करें।.
  2. प्राथमिकता दें
    • एकल/बहु-साइट इंस्टॉलेशन के बीच दायरे की पहचान करें।.
    • फ़ाइल परिवर्तनों, जोड़े गए व्यवस्थापक उपयोगकर्ताओं, नए निर्धारित कार्यों और डेटाबेस संशोधनों की जांच करें (11. संदिग्ध सामग्री के साथ।, 9. wp_usermeta).
  3. समाप्त करें
    • दुर्भावनापूर्ण फ़ाइलों को हटा दें और बैकअप से ज्ञात-स्वस्थ फ़ाइलों को पुनर्स्थापित करें।.
    • प्लगइन अपडेट लागू करें (4.4 या बाद का)।.
    • रहस्यों को घुमाएँ (API कुंजी, भुगतान गेटवे टोकन, व्यवस्थापक पासवर्ड)।.
  4. पुनर्प्राप्त करें
    • सेवाओं को फिर से सक्षम करें और विसंगतियों की निगरानी करें।.
    • आगे के शोषण प्रयासों के लिए लॉग की फिर से जांच करें।.
  5. घटना के बाद
    • मूल कारण विश्लेषण करें।.
    • स्थायी फ़ायरवॉल नियम लागू करें और पहुँच नियंत्रण को कड़ा करें (कम से कम विशेषाधिकार, व्यवस्थापकों के लिए 2FA)।.
    • यदि उपयोगकर्ता डेटा या भुगतान प्रभावित हुए हैं तो प्रभावित उपयोगकर्ताओं को सूचित करें।.

होस्टिंग प्रदाताओं और एजेंसियों के लिए व्यावहारिक मार्गदर्शन

यदि आप कई ग्राहक साइटों का प्रबंधन करते हैं, तो प्राथमिकता इस प्रकार रखें:

  • पहले उन साइटों को पैच करें जो भुगतान और दान संभालती हैं।.
  • अपडेट शेड्यूल करते समय किरायेदारों के बीच शोषण पैटर्न को अवरुद्ध करने के लिए एक वैश्विक होस्ट-स्तरीय WAF नियम लागू करें।.
  • ग्राहकों के लिए अपडेट करने की पेशकश करें और रोलबैक योजनाएँ प्रदान करें।.
  • ग्राहकों को सब्सक्राइबर विशेषाधिकार सीमित करने और पंजीकरण की निगरानी करने के बारे में शिक्षित करें।.

होस्ट-स्तरीय वर्चुअल पैचिंग अक्सर कई साइटों के लिए सबसे प्रभावी अल्पकालिक सुरक्षा होती है।.

सामान्य प्रश्न (FAQ)

प्रश्न: क्या इस असुरक्षा ने हमलावरों को वर्डप्रेस व्यवस्थापक खातों पर नियंत्रण करने दिया?
उत्तर: सीधे नहीं। समस्या एक विशिष्ट क्रिया के लिए एक अनुपस्थित प्राधिकरण जांच है; यह अनधिकृत प्राथमिकता अपडेट की अनुमति देता है जो अन्य कमजोरियों के साथ जोड़ा जा सकता है। इस मुद्दे के माध्यम से सीधे व्यवस्थापक नियंत्रण की कोई पुष्टि नहीं है।.

प्रश्न: मैंने पहले ही 4.4 में अपडेट किया है। क्या मुझे अभी भी कुछ करना है?
A: यदि सभी प्रभावित इंस्टॉलेशन को 4.4 या बाद के संस्करण में अपडेट किया जाता है, तो आप इस विशेष समस्या से सुरक्षित हैं। लॉग की निगरानी जारी रखें और सामान्य सुरक्षा स्वच्छता का पालन करें।.

Q: मैं कस्टमाइजेशन के कारण अपडेट नहीं कर सकता। फिर क्या?
A: एक वर्चुअल पैच (WAF/ModSecurity नियम) लागू करें या अनुरोधों को मान्य करने के लिए एक प्राधिकरण रैपर (mu-plugin) जोड़ें जब तक कि आप सुरक्षित रूप से अपडेट नहीं कर सकते।.

Q: मुझे समझौते के संकेतों के लिए कहाँ निगरानी करनी चाहिए?
A: कॉल के लिए एक्सेस लॉग खोजें admin-ajax.php के साथ action=update_profile_preference, प्रोफ़ाइल परिवर्तनों के लिए वर्डप्रेस गतिविधि लॉग की जांच करें, और असामान्य वेबहुक या कॉलबैक परिवर्तनों के लिए भुगतान गेटवे लॉग की समीक्षा करें।.

  • हमेशा क्षमता की पुष्टि करें: उपयोग करें current_user_can().
  • हमेशा AJAX एंडपॉइंट्स पर नॉनसेस को मान्य करें: check_ajax_referer().
  • REST रूट्स के लिए उचित अनुमति कॉलबैक का उपयोग करें (register_rest_route).
  • उन पैरामीटर को सीमित करें जो उपयोगकर्ता आईडी संशोधन की अनुमति देते हैं और स्वामित्व जांच को लागू करें।.
  • एंडपॉइंट्स के लिए अनुमति व्यवहार को सुनिश्चित करने वाले स्वचालित परीक्षण लागू करें।.
  • वैश्विक अनुरोध चर के असुरक्षित उपयोग के लिए कोड का समय-समय पर ऑडिट करें।.

उदाहरण निगरानी प्रश्न और लॉग जांच

grep "admin-ajax.php" access.log | grep "action=update_profile_preference";

यदि आप मेल खाते हैं, तो उन्हें आगे की जांच और रोकथाम के लिए संकेतों के रूप में मानें।.

समयरेखा और जिम्मेदार प्रकटीकरण नोट्स

  • प्रकटीकरण/सार्वजनिक रिपोर्टिंग तिथि: 16 फरवरी 2026
  • प्रभावित संस्करण: Paytium <= 4.3.7
  • सुधार रिलीज: 4.4
  • CVE असाइन किया गया: CVE-2023-7288

यदि आप एक प्लगइन डेवलपर हैं जो सुरक्षा कमजोरियों की रिपोर्ट प्राप्त कर रहे हैं: रिपोर्ट करने वाले को स्वीकार करें, एक पैच बनाएं और परीक्षण करें, एक स्थिर संस्करण जारी करें, और उपयोगकर्ताओं को स्पष्ट सुधारात्मक कदमों के साथ सूचित करें।.

अंतिम विचार - व्यावहारिक स्तरित सुरक्षा

टूटी हुई पहुंच नियंत्रण बग से बचा जा सकता है लेकिन यह सामान्य हैं। आवश्यक क्रियाएँ स्पष्ट हैं:

  • जल्दी पैच करें।.
  • यदि पैचिंग में देरी होती है, तो फ़ायरवॉल नियमों या अस्थायी कोड गार्ड के साथ रोकथाम लागू करें।.
  • पंजीकरण और भूमिका असाइनमेंट को मजबूत करें।.
  • लॉग की निगरानी करें और एक घटना प्रतिक्रिया योजना बनाए रखें।.

यदि आपको होस्ट-स्तरीय नियम लागू करने, रोकथाम mu-plugin बनाने, या अपने वातावरण के लिए पहचान प्रश्नों को अनुकूलित करने में सहायता की आवश्यकता है, तो एक विश्वसनीय सुरक्षा पेशेवर या आपकी होस्टिंग समर्थन टीम से परामर्श करें। मदद मांगते समय, वर्डप्रेस संस्करण, होस्टिंग वातावरण (Apache/Nginx), और यह कि साइट एकल-साइट है या मल्टीसाइट है, प्रदान करें ताकि मार्गदर्शन सटीक हो सके।.

परिशिष्ट: त्वरित चेकलिस्ट

  • हर साइट पर Paytium को 4.4 (या बाद में) पर अपडेट करें
  • यदि अपडेट में देरी होती है, तो अवरोधित करने के लिए WAF/ModSecurity नियम लागू करें update_profile_preference
  • लॉग में खोजें action=update_profile_preference और संदिग्ध प्रविष्टियों की समीक्षा करें
  • असामान्यताओं के लिए सब्सक्राइबर खातों और पंजीकरण की समीक्षा करें
  • मैलवेयर स्कैनिंग और फ़ाइल अखंडता जांच सक्षम करें
  • यदि आप संदिग्ध गतिविधि का पता लगाते हैं तो क्रेडेंशियल्स को घुमाएं
  • जब आप प्लगइन अपडेट लागू कर रहे हों तो होस्ट-स्तरीय वर्चुअल पैचिंग पर विचार करें
0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

वर्डप्रेस फीड प्लगइन में एक्सेस नियंत्रण को ठीक करना (CVE20236883)

अगला लेख —

इमेज प्लगइन में SSRF से साइटों की सुरक्षा (CVE20237073)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

समुदाय सलाहकार फ्लेक्सी प्लगइन स्टोर्ड XSS(CVE20259129)

  • अक्टूबर 3, 2025
वर्डप्रेस Flexi प्लगइन <= 4.28 - प्रमाणित (योगदानकर्ता+) संग्रहीत क्रॉस-साइट स्क्रिप्टिंग फ्लेक्सी-फॉर्म-टैग शॉर्टकोड भेद्यता के माध्यम से