Wवर्डप्रेस भेद्यता डेटाबेस

उपयोगकर्ताओं को ग्रैविटी SMTP डेटा एक्सपोजर से बचाना (CVE20264020)

वर्डप्रेस ग्रैविटी SMTP प्लगइन में संवेदनशील डेटा एक्सपोजर
0
शेयर
0
0
0
0
प्लगइन का नाम ग्रैविटी SMTP
कमजोरियों का प्रकार डेटा का खुलासा
CVE संख्या CVE-2026-4020
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2026-03-31
स्रोत URL CVE-2026-4020

तत्काल सुरक्षा चेतावनी: ग्रैविटी SMTP प्लगइन (≤ 2.1.4) — REST API के माध्यम से अनधिकृत संवेदनशील डेटा एक्सपोजर (CVE-2026-4020)

तारीख: 2026-03-31   |   लेखक: हांगकांग सुरक्षा विशेषज्ञ   |   टैग: वर्डप्रेस, प्लगइन कमजोरियां, REST API, SMTP, घटना प्रतिक्रिया

TL;DR — ग्रैविटी SMTP वर्डप्रेस प्लगइन (संस्करण ≤ 2.1.4) के लिए एक महत्वपूर्ण गोपनीयता और सुरक्षा मुद्दा उजागर किया गया। एक अनधिकृत अभिनेता प्लगइन के REST API एंडपॉइंट्स के माध्यम से संवेदनशील कॉन्फ़िगरेशन डेटा तक पहुंच सकता है। इस मुद्दे को CVE-2026-4020 के रूप में ट्रैक किया गया है, जिसका CVSS स्कोर 7.5 (उच्च / OWASP A3: संवेदनशील डेटा एक्सपोजर) है। तुरंत संस्करण 2.1.5 या बाद में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो शमन नियंत्रण लागू करें (WAF नियम, REST API पहुंच को प्रतिबंधित करें, प्लगइन को अक्षम करें) और SMTP/तीसरे पक्ष के क्रेडेंशियल्स को बदलें।.

अवलोकन

31 मार्च 2026 को ग्रैविटी SMTP वर्डप्रेस प्लगइन (संस्करण 2.1.4 तक और शामिल) से संबंधित एक कमजोरी सार्वजनिक रूप से उजागर की गई और इसे CVE-2026-4020 सौंपा गया। यह कमजोरी प्लगइन के REST API एंडपॉइंट्स के माध्यम से संवेदनशील प्लगइन कॉन्फ़िगरेशन तक अनधिकृत पहुंच की अनुमति देती है। संवेदनशील जानकारी में SMTP क्रेडेंशियल्स, API कुंजी, और अन्य कॉन्फ़िगरेशन विवरण शामिल हो सकते हैं जो केवल प्रशासकों के लिए उपलब्ध होने चाहिए। इस मुद्दे का उच्च प्राथमिकता रेटिंग (CVSS 7.5) है और यह OWASP A3: संवेदनशील डेटा एक्सपोजर में आता है — कमजोरियों की एक श्रेणी जो अक्सर समझौता बढ़ाने, खाता अधिग्रहण करने, या बाद में उपयोग के लिए रहस्यों को निकालने के लिए उपयोग की जाती है।.

यह सलाहकार स्पष्ट रूप से कमजोरी को समझाता है, यथार्थवादी जोखिम परिदृश्यों को रेखांकित करता है, और हांगकांग और क्षेत्र में साइट मालिकों, डेवलपर्स, होस्ट और सुरक्षा टीमों के लिए प्राथमिकता वाले, व्यावहारिक मार्गदर्शन प्रदान करता है। इसमें रोकथाम, पहचान और पुनर्प्राप्ति के कदम शामिल हैं।.

क्या हुआ (तकनीकी सारांश)

  • कमजोर घटक: ग्रैविटी SMTP वर्डप्रेस प्लगइन, संस्करण ≤ 2.1.4।.
  • कमजोरियों का प्रकार: REST API एंडपॉइंट (ओं) के माध्यम से अनधिकृत संवेदनशील जानकारी का एक्सपोजर।.
  • CVE: CVE-2026-4020।.
  • गंभीरता: उच्च — CVSS 7.5।.
  • मूल कारण (सारांश): कुछ REST API मार्गों ने पर्याप्त क्षमता जांच या प्रमाणीकरण के बिना प्लगइन कॉन्फ़िगरेशन को उजागर किया। क्योंकि वे अनधिकृत अनुरोधों को कॉन्फ़िगरेशन डेटा लौटाते हैं, एक हमलावर प्लगइन द्वारा संग्रहीत रहस्यों को सूचीबद्ध या पुनर्प्राप्त कर सकता है।.
  • पैच किया गया संस्करण: 2.1.5 (प्लगइन लेखक ने API एंडपॉइंट को प्रतिबंधित करने और रहस्यों को उजागर करने से बचने के लिए सुधार लागू किए)।.

महत्वपूर्ण नोट: यह एक सूचना प्रकटीकरण समस्या है - दूरस्थ कोड निष्पादन नहीं। हालांकि, उजागर किए गए रहस्य जैसे SMTP क्रेडेंशियल या API कुंजी अधिक गंभीर हमलों के लिए pivot बिंदुओं के रूप में उपयोग किए जा सकते हैं, जिसमें खाता अधिग्रहण या बड़े पैमाने पर स्पैम अभियान शामिल हैं।.

यह गंभीर क्यों है (प्रभाव और जोखिम परिदृश्य)

सूचना प्रकटीकरण अक्सर एक बड़े हमले की श्रृंखला में पहला कदम होता है। उजागर किए गए रहस्य और कॉन्फ़िगरेशन डेटा सक्षम कर सकते हैं:

  • बड़े पैमाने पर स्पैम अभियान: SMTP क्रेडेंशियल आपके डोमेन से थोक मेल भेजने की अनुमति देते हैं, जिससे प्रतिष्ठा को नुकसान और ब्लैकलिस्टिंग होती है।.
  • खाता अधिग्रहण: API कुंजी और टोकन आपके साइट से जुड़े बाहरी सेवाओं (ईमेल प्रदाता, विश्लेषण, CRM) तक पहुंच प्रदान कर सकते हैं।.
  • पार्श्व आंदोलन: पुन: उपयोग किए गए क्रेडेंशियल हमलावरों को अन्य सिस्टम तक पहुंच प्रदान करते हैं।.
  • सामाजिक इंजीनियरिंग: आंतरिक सेवाओं और प्लगइन के उपयोग का ज्ञान स्पीयर-फिशिंग में मदद करता है।.
  • वृद्धि: उजागर किए गए टोकन विशेषाधिकार प्राप्त APIs को कॉल करने और साइट कॉन्फ़िगरेशन को बदलने के लिए उपयोग किए जा सकते हैं।.

चूंकि यह भेद्यता बिना प्रमाणीकरण के है, स्वचालित स्कैनर और बॉट इसे बड़े पैमाने पर शोषण कर सकते हैं। छोटे व्यक्तिगत साइटें और बड़े उद्यम तैनाती दोनों जोखिम में हैं।.

किस पर प्रभाव पड़ता है

  • कोई भी वर्डप्रेस साइट जो ग्रेविटी SMTP प्लगइन संस्करण 2.1.4 या उससे पुराना चला रही है।.
  • साइटें जिन्होंने प्लगइन सेटिंग्स में SMTP उपयोगकर्ता नाम/पासवर्ड, API कुंजी, या टोकन संग्रहीत किए हैं।.
  • साइटें जहां प्लगइन के REST एंडपॉइंट बिना प्रमाणीकरण वाले उपयोगकर्ताओं के लिए पहुंच योग्य हैं (डिफ़ॉल्ट व्यवहार)।.
  • मल्टीसाइट नेटवर्क जहां प्लगइन नेटवर्क-व्यापी या व्यक्तिगत उप-साइटों में सक्रिय है।.

नोट: भले ही प्लगइन अप्रयुक्त प्रतीत होता है, साइट पर मौजूद प्लगइन फ़ाइलें अभी भी एंडपॉइंट्स को उजागर कर सकती हैं। सक्रिय स्थिति और मार्गों की पुष्टि करें।.

हमलावर इस भेद्यता का दुरुपयोग कैसे कर सकते हैं (उच्च-स्तरीय कार्यप्रवाह)

  1. खोज: बड़े पैमाने पर स्कैनर सामान्य वर्डप्रेस REST एंडपॉइंट्स के लिए प्लगइन्स और ज्ञात कमजोर मार्गों को क्वेरी करते हैं।.
  2. गणना: स्वचालित अनुरोध ग्रेविटी SMTP REST एंडपॉइंट(एस) पर हिट करते हैं और कॉन्फ़िगरेशन फ़ील्ड्स को शामिल करने वाला JSON प्राप्त करते हैं।.
  3. रहस्य संग्रह: SMTP क्रेडेंशियल, API कुंजी, या टोकन को हमलावरों द्वारा निकाला और संग्रहीत किया जाता है।.
  4. हथियार बनाना:
    • अपने डोमेन से स्पैम/फिशिंग भेजने के लिए SMTP क्रेडेंशियल्स का उपयोग करें।.
    • बाहरी सेवाओं तक पहुँचने के लिए API कुंजियों का उपयोग करें।.
    • अन्य साइटों पर क्रेडेंशियल्स का पुन: उपयोग करें (क्रेडेंशियल स्टफिंग)।.
  5. द्वितीयक हमले: हमलावर ईमेल सेटिंग्स को संशोधित करने, बैकडोर बनाने या एकत्रित डेटा का उपयोग करके लक्षित फिशिंग शुरू करने का प्रयास कर सकते हैं।.

REST API ब्राउज़र एक्सेस के लिए डिज़ाइन की गई है; प्रमाणीकरण जांचों की कमी लीक करना आसान बनाती है।.

पहचान और समझौते के संकेत (IoCs)

यदि आप स्कैनिंग या शोषण का संदेह करते हैं तो निम्नलिखित की जांच करें:

  • आउटगोइंग SMTP गतिविधि: आउटबाउंड मेल में वृद्धि, आपके SMTP प्रदाता की “भेजी गई” सूची में संदेश जो आपने नहीं भेजे।.
  • नए या बदले हुए उपयोगकर्ता: अप्रत्याशित व्यवस्थापक या लेखक खाते।.
  • सामग्री में परिवर्तन: अनुसूचित पोस्ट या अनधिकृत सामग्री संपादन।.
  • DNS/डोमेन प्रतिष्ठा: स्पैम या ब्लैकलिस्टिंग की रिपोर्ट।.
  • सर्वर लॉग: अज्ञात IPs से प्लगइन REST एंडपॉइंट्स या /wp-json/* के लिए बार-बार GET/POST अनुरोध।.
  • तृतीय-पक्ष अलर्ट: बाउंस/बॉट रिपोर्ट या अनधिकृत मेल भेजने के बारे में प्रदाता अलर्ट।.

लॉग की जांच कैसे करें

  • वेब सर्वर लॉग (Nginx/Apache): प्लगइन-संबंधित REST पथों के लिए Grep करें और आवृत्ति और उपयोगकर्ता एजेंटों का निरीक्षण करें।.
  • WordPress debug.log: यदि डिबग लॉगिंग सक्षम है तो प्लगइन से संबंधित REST प्रतिक्रियाओं या त्रुटियों की तलाश करें।.
  • SMTP प्रदाता लॉग: ऐसी गतिविधियों की जांच करें जो आपने शुरू नहीं की थीं।.
  • होस्टिंग नियंत्रण पैनल: आउटगोइंग मेल स्पाइक्स या कतार निर्माण की तलाश करें।.

तात्कालिक उपाय (प्राथमिकता के अनुसार)

इन चरणों को अब करें और दिखाए गए क्रम में तब तक करें जब तक आप पैच किए गए प्लगइन (2.1.5) को अपडेट नहीं कर सकते या पुष्टि नहीं कर सकते कि आप सुरक्षित संस्करण पर हैं।.

  1. प्लगइन को अपडेट करें (प्राथमिकता):

    • तुरंत Gravity SMTP को 2.1.5 या बाद के संस्करण में अपग्रेड करें।.
    • अपडेट की पुष्टि करें और पूर्ण उत्पादन उपयोग से पहले स्टेजिंग में SMTP भेजने का परीक्षण करें जहाँ संभव हो।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो ब्लॉकिंग नियंत्रण लागू करें:

    • कमजोर REST एंडपॉइंट्स को ब्लॉक या प्रतिबंधित करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या सर्वर नियमों का उपयोग करें। REST पथ, कॉन्फ़िगरेशन लौटाने वाले क्वेरी पैरामीटर, और असामान्य अनुरोध पैटर्न पर मेल करें।.
    • अनधिकृत उपयोगकर्ताओं के लिए WordPress REST API तक पहुंच को प्रतिबंधित करें: अस्थायी रूप से एक प्लगइन या सर्वर-साइड स्निपेट के माध्यम से REST API को प्रमाणित उपयोगकर्ताओं तक सीमित करें।.
  3. IP द्वारा पहुंच को प्रतिबंधित करें (यदि संभव हो):

    • यदि आपके पास विश्वसनीय व्यवस्थापक IPs का एक छोटा सेट है, तो वेब सर्वर या फ़ायरवॉल स्तर पर REST एंडपॉइंट्स तक पहुंच को प्रतिबंधित करें।.
  4. यदि आप पैच या कम नहीं कर सकते हैं तो प्लगइन को निष्क्रिय करें:

    • WordPress व्यवस्थापक या WP-CLI के माध्यम से Gravity SMTP को निष्क्रिय करें: wp प्लगइन निष्क्रिय करें gravitysmtp.
    • यदि व्यवस्थापक अनुपलब्ध है, तो इसे मजबूर-निष्क्रिय करने के लिए SFTP या फ़ाइल प्रबंधक के माध्यम से प्लगइन फ़ोल्डर का नाम बदलें।.
  5. प्लगइन में संग्रहीत क्रेडेंशियल्स को घुमाएँ:

    • SMTP उपयोगकर्ता नाम/पासवर्ड, API कुंजी, टोकन, और प्लगइन सेटिंग्स में मौजूद किसी भी क्रेडेंशियल को घुमाएँ।.
    • यदि एक्सपोजर का संदेह है तो तुरंत अपने ईमेल या SaaS प्रदाताओं के साथ क्रेडेंशियल्स बदलें।.
  6. ईमेल डिलीवरी और दृश्यता को मजबूत करें:

    • अनधिकृत मेल भेजने के प्रभाव को कम करने और दुरुपयोग में दृश्यता प्रदान करने के लिए SPF, DKIM, और DMARC को सही ढंग से कॉन्फ़िगर करें।.
    • जहाँ उपयुक्त हो, प्रदाता-प्रबंधित APIs (संक्षिप्त जीवन वाले कुंजी के साथ) पर स्विच करने पर विचार करें।.
  7. निगरानी और लॉगिंग करें:

    • REST API एक्सेस और आउटबाउंड मेल के लिए लॉगिंग बढ़ाएँ। प्लगइन रूट्स पर स्पाइक्स या उच्च-आवृत्ति एक्सेस के लिए अलर्ट सेट करें।.
  8. हितधारकों को सूचित करें:

    • यदि लेनदेन संबंधी ईमेल प्रभावित होते हैं (पासवर्ड रीसेट, चालान), तो यदि दुरुपयोग का संदेह हो तो हितधारकों और प्रभावित उपयोगकर्ताओं को सूचित करें।.

कार्यान्वयन उदाहरण (सुरक्षित, गैर-शोषणकारी)

उदाहरण: Apache के माध्यम से REST रूट को ब्लॉक करें (वास्तविक प्लगइन रूट से मेल खाने के लिए पैटर्न को समायोजित करें)। अक्षम करने के लिए उदाहरण WP-CLI कमांड:

wp प्लगइन निष्क्रिय करें gravitysmtp

पहले स्टेजिंग में परिवर्तनों का परीक्षण करें; REST रूट को ब्लॉक करना वैध एकीकरण को प्रभावित कर सकता है।.

दीर्घकालिक हार्डनिंग और सर्वोत्तम प्रथाएँ

तात्कालिक सीमित करने के अलावा, भविष्य के जोखिम को कम करने के लिए इन सिद्धांतों को लागू करें:

  1. सब कुछ अपडेट रखें: प्लगइन्स, थीम, और कोर। जब संभव हो, उत्पादन से पहले परीक्षण करें।.
  2. प्लगइन का फुटप्रिंट कम करें: अप्रयुक्त प्लगइन्स को हटाएँ और अच्छी तरह से बनाए रखे गए प्रोजेक्ट्स को प्राथमिकता दें।.
  3. रहस्यों का प्रबंधन: प्लगइन विकल्पों में उत्पादन क्रेडेंशियल्स को स्टोर करने से बचें। जहाँ संभव हो, पर्यावरण चर या सर्वर-साइड स्टोर्स का उपयोग करें।.
  4. REST API स्वच्छता: क्षमता जांच के लिए कस्टम रूट्स का ऑडिट करें, आउटपुट को साफ करें, और कभी भी सार्वजनिक रूप से रहस्य न लौटाएँ।.
  5. न्यूनतम विशेषाधिकार का सिद्धांत: सुनिश्चित करें कि केवल आवश्यक डेटा ही उजागर हो और उचित क्षमता जांच का उपयोग करें (जैसे, current_user_can(‘manage_options’))।.
  6. सुरक्षा निगरानी और लॉगिंग: लॉग को केंद्रीकृत करें और असामान्य REST एक्सेस या मेल पैटर्न को पहचानने के लिए विसंगति पहचान का उपयोग करें।.
  7. बैकअप और पुनर्प्राप्ति: परीक्षण किए गए बैकअप (फाइलें + डेटाबेस) बनाए रखें और जहाँ व्यावहारिक हो, उन्हें अपरिवर्तनीय या ऑफ़लाइन रखें।.
  8. स्टेजिंग + परीक्षण: उत्पादन में लागू करने से पहले स्टेजिंग में अपडेट और सुरक्षा नियमों का परीक्षण करें।.
  9. नियमित ऑडिट: समय-समय पर उन प्लगइन्स की समीक्षा करें जो क्रेडेंशियल्स को संभालते हैं या तीसरे पक्ष के साथ एकीकृत होते हैं।.

यदि आप समझौते का संदेह करते हैं तो घटना प्रतिक्रिया

यदि आपके पास शोषण या निष्कासन का प्रमाण है, तो एक बढ़ी हुई प्रतिक्रिया का पालन करें:

  1. अलग करें और नियंत्रित करें: कमजोर प्लगइन और संदिग्ध एकीकरणों को अक्षम करें। साइट को रखरखाव मोड में डालने पर विचार करें।.
  2. सबूत को संरक्षित करें: फोरेंसिक समीक्षा के लिए वेब सर्वर लॉग, REST अनुरोध लॉग, SMTP प्रदाता लॉग और प्रासंगिक फ़ाइलों/डेटाबेस की प्रतियां सहेजें।.
  3. कुंजी और प्रमाणपत्र घुमाएँ: SMTP क्रेडेंशियल्स, API कुंजी और अन्य टोकन को घुमाएँ। जहाँ संभव हो, रद्द करें और फिर से जारी करें।.
  4. साफ़ करें और पुनर्स्थापित करें: मैलवेयर स्कैनर और मैनुअल निरीक्षण का उपयोग करें; यदि आवश्यक हो तो एक साफ बैकअप से पुनर्स्थापित करें।.
  5. स्थिरता के लिए स्कैन करें: बैकडोर, नए व्यवस्थापक उपयोगकर्ता, असामान्य क्रोन कार्य और अनधिकृत प्लगइन/थीम की तलाश करें।.
  6. सूचना और कानूनी: डेटा एक्सपोजर और स्थानीय नियमों के आधार पर रिपोर्टिंग की बाध्यताओं पर विचार करें।.
  7. घटना के बाद की समीक्षा: मूल कारण का दस्तावेजीकरण करें और प्रक्रियाओं को अपडेट करें ताकि अंतर को बंद किया जा सके।.

डेवलपर नोट्स (सुरक्षित कोडिंग और REST API स्वच्छता)

प्लगइन लेखकों के लिए चेकलिस्ट ताकि समान खुलासों से बचा जा सके:

  • कॉन्फ़िगरेशन डेटा लौटाने से पहले सर्वर-साइड क्षमता जांचें। current_user_can() या समकक्ष का उपयोग करें और अनधिकृत अनुरोधों के लिए 403 लौटाएँ।.
  • कभी भी API एंडपॉइंट्स के माध्यम से रहस्यों को न लौटाएँ। यदि रहस्यों को संग्रहीत करना आवश्यक है, तो उन्हें किसी भी मार्ग के माध्यम से उजागर न करें।.
  • REST API का उपयोग करें permission_callback जब रूट्स को पंजीकृत करते हैं: 
    register_rest_route( 'namespace/v1', '/settings', array( 'methods' => 'GET', 'callback' => 'my_callback', 'permission_callback' => 'my_permission_check' ) );
  • प्रमाणित अनुरोधों के लिए भी आउटपुट को साफ़ और मान्य करें।.
  • अनधिकृत पहुंच और अनपेक्षित लीक के लिए APIs का यूनिट परीक्षण करें।.
  • संवेदनशील एंडपॉइंट्स तक पहुंच का लॉग रखें और दर-सीमा और विसंगति पहचान लागू करें।.

व्यावहारिक चेकलिस्ट - साइट मालिकों के लिए चरण-दर-चरण (त्वरित संदर्भ)

  1. प्लगइन संस्करण की जांच करें:
    • व्यवस्थापक: डैशबोर्ड → प्लगइन्स → ग्रेविटी SMTP → यदि ≤ 2.1.4 हो तो अपडेट करें।.
    • WP-CLI: wp प्लगइन सूची | grep gravitysmtp
  2. यदि अपडेट उपलब्ध है:
    • 2.1.5+ पर अपडेट करें और यदि संभव हो तो पहले स्टेजिंग में कार्यक्षमता की पुष्टि करें।.
  3. यदि आप तुरंत अपडेट नहीं कर सकते:
    • अनधिकृत उपयोगकर्ताओं के लिए प्लगइन REST एंडपॉइंट्स को ब्लॉक करने के लिए WAF सुरक्षा या सर्वर-स्तरीय नियम लागू करें।.
    • वेब सर्वर या एप्लिकेशन स्तर पर प्लगइन-संबंधित REST एंडपॉइंट्स को ब्लॉक या प्रतिबंधित करें।.
    • यदि आवश्यक हो तो प्लगइन को निष्क्रिय करें।.
  4. क्रेडेंशियल्स को घुमाएं:
    • प्लगइन से संबंधित SMTP पासवर्ड, API कुंजी, OAuth टोकन बदलें।.
  5. ऑडिट और निगरानी:
    • /wp-json/* रूट्स और आउटबाउंड मेल स्पाइक्स के लिए लॉग की समीक्षा करें।.
    • अनधिकृत गतिविधि के सबूत देखें।.
  6. पुनर्प्राप्ति:
    • यदि समझौता संदेहास्पद है, तो एक साफ बैकअप से पुनर्स्थापित करें, फोरेंसिक विश्लेषण करें, और प्रभावित पक्षों को सूचित करें।.
  7. मजबूत करें:
    • REST API को मजबूत करें, न्यूनतम विशेषाधिकार लागू करें, और नियमित रूप से कमजोरियों की स्कैनिंग का कार्यक्रम बनाएं।.

निष्कर्ष

हांगकांग और क्षेत्र में सुरक्षा टीमों और साइट मालिकों के लिए: CVE-2026-4020 एक अनुस्मारक है कि जानकारी का खुलासा करने वाली कमजोरियाँ जो क्रेडेंशियल्स को उजागर करती हैं, व्यावहारिक और तात्कालिक खतरे हैं। सबसे तेज़ उपाय है प्लगइन को संस्करण 2.1.5 पर अपडेट करना और किसी भी उजागर क्रेडेंशियल्स को घुमाना। जहां तात्कालिक अपडेट संभव नहीं हैं, WAF या सर्वर-स्तरीय नियम लागू करें, REST API पहुंच को प्रतिबंधित करें, या जोखिम को कम करने के लिए अस्थायी रूप से प्लगइन को निष्क्रिय करें।.

अभी कार्य करें: ग्रेविटी SMTP चला रहे साइटों की सूची बनाएं, जहां आवश्यक हो वहां अपडेट करें, प्लगइन द्वारा संग्रहीत कुंजी घुमाएं, और पूर्ण सुधार करते समय अस्थायी सुरक्षा लागू करें।.

संदर्भ

  • CVE-2026-4020 — सार्वजनिक सलाह प्रविष्टि
  • ग्रेविटी SMTP प्लगइन चेंजलॉग — 2.1.5 में पैच किया गया
  • OWASP शीर्ष 10 - संवेदनशील डेटा एक्सपोज़र मार्गदर्शन
  • वर्डप्रेस REST API डेवलपर हैंडबुक — permission_callback उपयोग
0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग में विक्रेता पोर्टल्स की सुरक्षा (NOCVE)

अगला लेख —

सुरक्षा सलाहकार Kubio AI प्लगइन में XSS (CVE202634887)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा वर्डप्रेस अलोबैदी कैप्चा XSS(CVE20258080)

  • अगस्त 15, 2025
वर्डप्रेस अलोबैदी कैप्चा प्लगइन <= 1.0.3 - प्रमाणित (प्रशासक+) प्लगइन सेटिंग्स के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग की कमजोरी
Wवर्डप्रेस भेद्यता डेटाबेस

WordPress को XSS कमजोरियों से बचाना (CVE202549061)

  • अगस्त 8, 2025
महत्वपूर्ण कमजोरियों की चेतावनी: लोकप्रिय WordPress प्लगइन ‘Porn Videos Embed’ (संस्करण ≤ 0.9.1) में क्रॉस-साइट स्क्रिप्टिंग महत्वपूर्ण कमजोरियों की चेतावनी:…
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह ग्रेविटी फॉर्म्स दोष(CVE202512352)

  • नवम्बर 7, 2025
वर्डप्रेस ग्रेविटी फॉर्म्स प्लगइन <= 2.9.20 - बिना प्रमाणीकरण के मनमाना फ़ाइल अपलोड 'copy_post_image' भेद्यता के माध्यम से