Wवर्डप्रेस भेद्यता डेटाबेस

सार्वजनिक सलाह myCred एक्सेस नियंत्रण भेद्यता (CVE202512362)

WordPress myCred प्लगइन में टूटी हुई एक्सेस नियंत्रण
0
शेयर
0
0
0
0
प्लगइन का नाम myCred
कमजोरियों का प्रकार टूटी हुई पहुंच नियंत्रण
CVE संख्या CVE-2025-12362
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-12-13
स्रोत URL CVE-2025-12362

myCred में टूटी हुई एक्सेस नियंत्रण (CVE-2025-12362): वर्डप्रेस साइट के मालिकों को अब क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ

तारीख: 2025-12-13

संक्षिप्त सारांश: एक सुरक्षा कमजोरी जो myCred (प्लगइन संस्करण ≤ 2.9.7) को प्रभावित करती है, अनधिकृत अभिनेताओं को एक विशेषाधिकार प्राप्त क्रिया - निकासी अनुरोधों को मंजूरी देने - को ट्रिगर करने की अनुमति देती है, क्योंकि प्राधिकरण जांच गायब हैं। यह समस्या myCred 2.9.7.1 में पैच की गई है। यह लेख जोखिम, वास्तविक हमले के परिदृश्य, सुरक्षित पहचान और शमन कदम, और आपके साइट की सुरक्षा के लिए व्यावहारिक हार्डनिंग मार्गदर्शन को समझाता है जबकि आप पैच और जांच करते हैं।.

सुरक्षा कमजोरी का स्नैपशॉट

  • प्रभावित प्लगइन: myCred - गेमिफिकेशन, रैंक, बैज और लॉयल्टी प्रोग्राम के लिए पॉइंट्स प्रबंधन प्रणाली
  • प्रभावित संस्करण: ≤ 2.9.7
  • में ठीक किया गया: 2.9.7.1
  • वर्गीकरण: टूटी हुई एक्सेस नियंत्रण (OWASP A1 श्रेणी)
  • CVE: CVE-2025-12362
  • शोषण के लिए आवश्यक विशेषाधिकार: अनधिकृत (कोई खाता आवश्यक नहीं)
  • सुरक्षा सलाहकार की तारीख: 2025-12-13
  • प्राथमिकता: उन साइटों के लिए तात्कालिक जो myCred निकासी का उपयोग करती हैं; उन साइटों के लिए उच्च रुचि जिनके वित्तीय प्रवाह पॉइंट्स से जुड़े हैं

यह एक एक्सेस नियंत्रण / गायब प्राधिकरण समस्या है जो एक अनधिकृत अनुरोध को निकासी को मंजूरी देने की अनुमति देती है। क्योंकि यह क्रिया सीधे उपयोगकर्ता संतुलनों को प्रभावित करती है और साइट से बाहर भुगतान या क्रेडिट ट्रांसफर को ट्रिगर कर सकती है, वास्तविक दुनिया में प्रभाव महत्वपूर्ण हो सकता है भले ही CVSS बेस स्कोर मामूली दिखाई दे।.

यह वर्डप्रेस साइट के मालिकों के लिए क्यों महत्वपूर्ण है

myCred का सामान्यत: उपयोग पुरस्कार पॉइंट्स, लॉयल्टी क्रेडिट और सदस्यता, ई-कॉमर्स और सामुदायिक साइटों पर निकासी योग्य संतुलनों को प्रबंधित करने के लिए किया जाता है। निकासी की मंजूरी एक विशेषाधिकार प्राप्त क्रिया है: यह संतुलनों को कम करती है या स्थानांतरित करती है और मैनुअल या स्वचालित पूर्ति को ट्रिगर कर सकती है।.

  • वित्तीय जोखिम: अनधिकृत अनुमोदन हमलावरों को बिंदु संतुलन स्थानांतरित करने या निकालने या हमलावर-नियंत्रित खातों को भुगतान शुरू करने की अनुमति दे सकते हैं।.
  • प्रतिष्ठा जोखिम: उपयोगकर्ता बिंदु खोने या धोखाधड़ी वाले भुगतान प्राप्त करने पर शिकायत करेंगे, नकारात्मक प्रतिक्रिया पोस्ट करेंगे और churn का कारण बन सकते हैं।.
  • परिचालन जोखिम: अनधिकृत भुगतानों की जांच और उलटने में समय लगता है और मैनुअल समन्वय की आवश्यकता हो सकती है।.
  • अनुपालन और कानूनी जोखिम: यदि पुरस्कारों का मौद्रिक मूल्य में अनुवाद होता है, तो अनधिकृत भुगतान के नियामक निहितार्थ हो सकते हैं जो क्षेत्राधिकार पर निर्भर करते हैं।.

क्योंकि यह कमजोरियां प्रमाणीकरण रहित अनुरोधों द्वारा सक्रिय की जा सकती हैं, हमलावरों को वैध खातों की आवश्यकता नहीं होती है, जिससे अवसरवादी, स्वचालित शोषण की संभावना बढ़ जाती है।.

सुरक्षा कमजोरी क्या है (उच्च-स्तरीय तकनीकी विश्लेषण)

दोष एक अनुप्रयोग कोड में अनुपस्थित या अपर्याप्त प्राधिकरण जांच है जो निकासी अनुमोदनों को संसाधित करता है। सुरक्षित पैटर्न सामान्यतः यह सुनिश्चित करने के लिए शामिल होते हैं कि:

  • अनुरोध एक प्रमाणित उपयोगकर्ता द्वारा किया गया है;
  • प्रमाणित उपयोगकर्ता के पास निकासी को अनुमोदित करने के लिए आवश्यक क्षमता/भूमिका है (जैसे, manage_options या एक कस्टम क्षमता);
  • अनुरोध में एक वैध नॉनस या CSRF टोकन शामिल है यह सुनिश्चित करने के लिए कि अनुरोध एक वैध पृष्ठ से उत्पन्न हुआ है।.

जहां ये जांचें अनुपस्थित या बायपास करने योग्य हैं, एक हमलावर एक अनुरोध तैयार कर सकता है जो प्लगइन के लिए वैध प्रतीत होता है और प्लगइन निकासी अनुमोदन लॉजिक को संसाधित करेगा।.

हम शोषण पैरामीटर या निर्देश प्रदान नहीं करते हैं। शोषण विवरण साझा करने से सक्रिय शोषण का जोखिम बढ़ जाएगा। इस पोस्ट का बाकी हिस्सा पहचान और शमन पर केंद्रित है।.

वर्डप्रेस प्लगइन्स में सामान्य अंतर्निहित कारण:

  • सार्वजनिक REST एंडपॉइंट या AJAX क्रियाएँ जो क्षमता जांच के बिना व्यावसायिक लॉजिक को सक्रिय करती हैं।.
  • सर्वर-साइड लॉजिक जो अनुरोधकर्ता को मान्य किए बिना अनुरोध पैरामीटर पर भरोसा करता है।.
  • स्थिति-परिवर्तनकारी संचालन के लिए अनुपस्थित या गलत तरीके से उपयोग किए गए नॉनस।.
  • व्यावसायिक लॉजिक जो बिना बहु-चरण पुष्टि या केवल प्रशासक गेटिंग के अपरिवर्तनीय क्रियाएँ (भुगतान, संतुलन परिवर्तन) करती है।.

वास्तविक खतरे के परिदृश्य और संभावित प्रभाव

  1. स्वचालित सामूहिक शोषण

    हमलावर कमजोर myCred संस्करणों वाले साइटों को स्कैन करते हैं और अनुमोदन पथ को लक्षित करते हुए बिना प्रमाणीकरण के अनुरोध प्रस्तुत करते हैं, लंबित निकासी को बड़े पैमाने पर मंजूरी देते हैं। प्रभाव: कई उपयोगकर्ताओं के अंक हटा दिए जाते हैं या हमलावर-नियंत्रित भुगतान स्थलों पर भेज दिए जाते हैं।.

  2. उच्च-मूल्य खातों पर लक्षित हमला

    एक हमलावर एक विशिष्ट उच्च-बैलेंस निकासी को मंजूरी देता है। प्रभाव: असमान वित्तीय हानि और प्रतिष्ठा को नुकसान।.

  3. इसके बाद खाता समझौता

    अनुमोदित निकासी जुड़े भुगतान गेटवे के माध्यम से डाउनस्ट्रीम भुगतान को ट्रिगर कर सकती हैं, संदिग्ध भुगतान और पूर्ति गतिविधि का एक निशान बनाते हुए।.

  4. श्रृंखला हमले

    अनुमोदन चालान या शिपिंग अनुरोध उत्पन्न कर सकते हैं जो आंतरिक प्रक्रियाओं या एंडपॉइंट्स को उजागर करते हैं, आगे के हमलों को सक्षम करते हैं।.

भले ही आपकी साइट मौद्रिक निकासी का उपयोग न करे, अनुमोदन उपहार कोड, कूपन या एक्सेस टोकन को ट्रिगर कर सकते हैं जिनका वास्तविक मूल्य है।.

सुरक्षित पहचान: कैसे जांचें कि आपकी साइट को लक्षित किया गया था

कमजोरियों को फिर से बनाने का प्रयास न करें। इन सुरक्षित जांच चरणों का पालन करें:

  • प्लगइन संस्करण की जाँच करें

    पुष्टि करें कि myCred संस्करण ≤ 2.9.7 पर है। यदि हाँ, तो पैच होने तक साइट को कमजोर मानें।.

  • ऑडिट लॉग (सर्वर और एप्लिकेशन)

    संदिग्ध अनुमोदनों के समय के आसपास myCred निकासी प्रवाह से जुड़े एंडपॉइंट्स पर असामान्य POST अनुरोधों की तलाश करें। असामान्य IPs से अनुरोधों, दोहराए गए अनुरोधों, या एक ही IP से उच्च आवृत्ति के लिए देखें।.

  • myCred आंतरिक लॉग और निकासी रिकॉर्ड

    अनुमोदित निकासी के समय-चिह्नों की समीक्षा करें और खाता मालिक की गतिविधि की तुलना करें। जब कोई व्यवस्थापक लॉग इन नहीं था, तब अनुमोदनों की जांच करें।.

  • भुगतान गेटवे या पूर्ति लॉग

    अनुमोदित निकासी को भुगतान, चालान उत्पन्न करने या शिपमेंट निर्माण के साथ मिलाएं। यदि अनुमोदनों में व्यवस्थापक पुष्टि की कमी है, तो आपको लक्षित किया जा सकता है।.

  • फ़ाइल अखंडता और कॉन्फ़िगरेशन

    सत्यापित करें कि myCred प्लगइन फ़ाइलों में कोई परिवर्तन नहीं किया गया है। उसी समय के आसपास अपरिचित अनुसूचित कार्यों या वेबहुक्स की जांच करें।.

  • बैकअप सत्यापन

    यदि आप अनधिकृत अनुमोदन पाते हैं, तो घटना से पहले एक आधार रेखा स्थापित करने के लिए बैकअप और परिवर्तन लॉग की सलाह लें।.

यदि संदिग्ध गतिविधि का पता लगाया जाता है, तो साइट को रखरखाव मोड में रखने पर विचार करें, जहां संभव हो, किसी भी कुंजी या वेबहुक एंडपॉइंट को रद्द करें जो भुगतान के लिए उपयोग किए जाते हैं, और घटना प्रतिक्रिया शुरू करें।.

तात्कालिक सुधारात्मक कदम (पहले ये करें)

  1. myCred को तुरंत अपडेट करें

    जितनी जल्दी हो सके myCred 2.9.7.1 या बाद के संस्करण में अपग्रेड करें। यह प्लगइन लेखक से अंतिम समाधान है।.

  2. जब आप जांच करें तो साइट को रखरखाव/सीमित मोड में डालें

    यदि आप तुरंत पैच नहीं कर सकते हैं तो अस्थायी रूप से निकासी प्रसंस्करण को अक्षम करें या साइट को केवल-पढ़ने के मोड में डालें।.

  3. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अस्थायी उपाय लागू करें
    • प्रभावित एंडपॉइंट्स तक पहुंच को .htaccess/nginx नियमों या होस्ट नियंत्रण पैनल का उपयोग करके प्रतिबंधित करें ताकि केवल विश्वसनीय व्यवस्थापक आईपी को अनुमति दी जा सके।.
    • यदि वह विकल्प मौजूद है तो प्लगइन सेटिंग्स में निकासी को संसाधित करने वाली सुविधाओं को अक्षम करें।.
    • अनुमोदन प्रवाह से संबंधित एंडपॉइंट्स पर अनधिकृत POSTs को ब्लॉक करने के लिए नेटवर्क या एप्लिकेशन एज पर फ़ायरवॉल नियमों का उपयोग करें।.
  4. क्रेडेंशियल्स को घुमाएं और एकीकरण कुंजियों को रद्द करें

    यदि निकासी बाहरी भुगतान प्रदाताओं या एपीआई से जुड़ी हैं, तो अस्थायी रूप से एकीकरण कुंजियों और क्रेडेंशियल्स को घुमाएं।.

  5. हितधारकों को सूचित करें

    अपनी आंतरिक सुरक्षा/ऑपरेशंस टीम को सूचित करें और, यदि उपयुक्त हो, तो संभावित रूप से प्रभावित उपयोगकर्ताओं को अनधिकृत अनुमोदनों के बारे में सूचित करें। पारदर्शिता विश्वास और सुधार को प्रबंधित करने में मदद करती है।.

  6. AND post_date >= '2025-11-01'

    फोरेंसिक विश्लेषण के लिए पूर्ण सर्वर लॉग, प्लगइन लॉग और डेटाबेस स्नैपशॉट का बैकअप लें।.

यदि आप एक प्रबंधित प्रदाता के साथ होस्ट करते हैं, तो एक उच्च-प्राथमिकता समर्थन टिकट खोलें और CVE संदर्भ और अपने निष्कर्ष प्रदान करें।.

सख्ती और दीर्घकालिक निवारण

तत्काल सुधार के बाद, भविष्य के जोखिम को कम करने के लिए इन हार्डनिंग उपायों को लागू करें:

  • न्यूनतम विशेषाधिकार का सिद्धांत

    सुनिश्चित करें कि केवल आवश्यक खातों को निकासी को अनुमोदित करने और वित्त का प्रबंधन करने की अनुमति है। जहां लागू हो, कस्टम क्षमताएं बनाएं।.

  • सर्वर और एंडपॉइंट हार्डनिंग

    admin-ajax और REST एंडपॉइंट्स को लॉक करें। REST मार्गों को प्रमाणित उपयोगकर्ताओं या विशेष भूमिकाओं तक सीमित करें। अतिरिक्त हमले की सतह को उजागर करने वाली अप्रयुक्त सुविधाओं को अक्षम या हटा दें।.

  • धन वितरित करने के लिए दो-चरणीय अनुमोदन की आवश्यकता है

    एक सीमा से अधिक निकासी के लिए दो-व्यक्ति अनुमोदन की आवश्यकता वाले व्यावसायिक तर्क पर विचार करें।.

  • नॉनस और CSRF मान्यता

    सुनिश्चित करें कि सभी राज्य-परिवर्तनकारी संचालन के लिए एक मान्य WP नॉनस की आवश्यकता है और इसे सर्वर-साइड पर मान्य करें।.

  • इनपुट मान्यता और लॉगिंग

    सुनिश्चित करें कि प्लगइन अनुरोध पैरामीटर की मान्यता करता है और महत्वपूर्ण क्रियाओं और उन्हें करने वाले उपयोगकर्ता के लॉग रखता है।.

  • नियमित प्लगइन स्वच्छता

    अप्रयुक्त प्लगइनों को हटा दें, सब कुछ अपडेट रखें, और नियमित सुरक्षा समीक्षाएँ करें।.

  • निगरानी और चेतावनी

    भुगतान गतिविधि में अचानक वृद्धि, बड़े निकासी, या बार-बार असफल प्रमाणीकरण प्रयासों के लिए अलर्ट लागू करें।.

  • बैकअप और एक रोलबैक रणनीति

    डाउनटाइम और व्यवसाय पर प्रभाव को कम करने के लिए नियमित, परीक्षण किए गए बैकअप और एक पुनर्प्राप्ति योजना बनाए रखें।.

व्यावहारिक WAF मार्गदर्शन (उच्च-स्तरीय)

निम्नलिखित अवधारणात्मक WAF और एज सुरक्षा हैं जो इस प्रकार की कमजोरियों के लिए जोखिम को कम करती हैं। इन्हें उत्पादन तैनाती से पहले स्टेजिंग में परीक्षण किया जाना चाहिए।.

  • निकासी अनुमोदन से संबंधित एंडपॉइंट्स पर अनधिकृत POST/PUT/DELETE क्रियाओं को ब्लॉक करें जब तक कि अनुरोधकर्ता प्रमाणित न हो और आवश्यक क्षमता न हो।.
  • राज्य परिवर्तन करने वाले POST अनुरोधों के लिए WordPress नॉनस की उपस्थिति और वैधता को लागू करें।.
  • प्लगइन के क्रिया एंडपॉइंट्स पर अनुरोधों की दर-सीमा निर्धारित करें ताकि सामूहिक स्वचालित दुरुपयोग अव्यावहारिक हो सके।.
  • उन गुमनाम अनुरोधों का पता लगाएं और ब्लॉक करें जो निकासी को मंजूरी देने के लिए सामान्यतः उपयोग किए जाने वाले क्रिया पैरामीटर शामिल करते हैं।.
  • जब संभव हो, तो घटना प्रतिक्रिया के दौरान अनुमोदन एंडपॉइंट्स को फ़ायरवॉल या नेटवर्क स्तर पर छोटे सेट के प्रशासनिक IPs तक सीमित करें।.

ये नियंत्रण उस समय क्षतिपूर्ति उपाय के रूप में कार्य करते हैं जब आप अपस्ट्रीम पैच लागू करते हैं और फोरेंसिक समीक्षा करते हैं।.

साइट प्रबंधकों के लिए घटना प्रतिक्रिया चेकलिस्ट

यदि आपको अनधिकृत अनुमोदन गतिविधि का संदेह है, तो इस चेकलिस्ट का पालन करें:

  1. प्लगइन संस्करण और पैच की तुरंत पुष्टि करें (यदि संभव हो)।.
  2. साइट को रखरखाव मोड में डालें या निकासी प्रसंस्करण को निष्क्रिय करें।.
  3. लॉग को संरक्षित करें और एक पूर्ण डेटाबेस/फाइल स्नैपशॉट लें।.
  4. प्रभावित निकासी रिकॉर्ड (आईडी, टाइमस्टैम्प, प्राप्तकर्ता) की पहचान करें और सूची बनाएं।.
  5. जहां संभव हो, भुगतान प्रोसेसर को भुगतान पूरा करने से वापस लें या निलंबित करें।.
  6. आंतरिक रूप से संवाद करें, और यदि धन या विश्वास प्रभावित हो सकता है तो ग्राहक-समर्थक संदेश तैयार करें।.
  7. यदि भुगतान संसाधित किए गए हैं, तो जब संभव हो, अपने भुगतान प्रोसेसर और प्राप्तकर्ताओं के साथ लेनदेन को उलटने के लिए काम करें।.
  8. एपीआई कुंजी, व्यवस्थापक पासवर्ड और वेबहुक रहस्यों को घुमाएं।.
  9. घटना के बाद की समीक्षा करें: मूल कारण, सुधार, सीखे गए पाठ।.
  10. मुआवजे के नियंत्रण लागू करें: एज फायरवॉल नियम, बड़े भुगतान के लिए दो-व्यक्ति अनुमोदन, संवर्धित निगरानी।.

यदि प्रभाव महत्वपूर्ण या जटिल है तो पेशेवर घटना प्रतिक्रिया समर्थन को शामिल करने पर विचार करें।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: मेरी साइट myCred का उपयोग करती है लेकिन निकासी नहीं - क्या मैं अभी भी प्रभावित हूं?

उत्तर: यदि आप निकासी या भुगतान सुविधाओं का उपयोग नहीं करते हैं, तो सीधा व्यावसायिक जोखिम कम है। हालाँकि, कमजोर कोड अभी भी प्लगइन में मौजूद है; भविष्य के कॉन्फ़िगरेशन परिवर्तनों या तृतीय-पक्ष ऐड-ऑन के सक्रिय होने के कारण सावधानी के रूप में अपडेट करें।.

प्रश्न: क्या मैं केवल WAF पर भरोसा कर सकता हूँ?

उत्तर: एक WAF एक मूल्यवान मुआवजे का नियंत्रण है और कई शोषण प्रयासों को रोक सकता है, लेकिन यह अपस्ट्रीम फिक्स लागू करने के लिए एक विकल्प नहीं है। पैच उपलब्ध होते ही हमेशा प्लगइन को अपडेट करें।.

प्रश्न: क्या 2.9.7.1 में अपडेट करने से मेरी अनुकूलन टूट जाएगा?

उत्तर: सुरक्षा पैच आमतौर पर पीछे की संगतता रखते हैं, लेकिन यदि आपके पास अनुकूलन एकीकरण या कोड हुक हैं तो स्टेजिंग वातावरण में अपडेट का परीक्षण करें।.

प्रश्न: क्या मुझे पैच होने तक myCred को निष्क्रिय करना चाहिए?

उत्तर: यदि निकासी प्रक्रिया आपके व्यवसाय के लिए महत्वपूर्ण है और आप तुरंत पैच नहीं कर सकते हैं, तो निकासी को निष्क्रिय करने या पैच लागू होने तक अनुमोदन प्रवाह को अस्थायी रूप से प्रतिबंधित करने पर विचार करें।.

बुनियादी सुरक्षा और अगले कदम

जब आप प्लगइन अपडेट का परीक्षण और लागू कर रहे हों, तो त्वरित जोखिम में कमी के लिए बुनियादी सुरक्षा लागू करें:

  • आधिकारिक प्लगइन अपडेट को प्राथमिकता के रूप में लागू करें।.
  • संवेदनशील एंडपॉइंट्स तक पहुंच को नेटवर्क या वेब-सरवर नियमों के साथ प्रतिबंधित करें।.
  • भुगतान से संबंधित क्रियाओं के लिए निगरानी और अलर्टिंग सक्षम करें।.
  • फोरेंसिक जांच के लिए साक्ष्य को संरक्षित करें (लॉग, DB स्नैपशॉट)।.
  • यदि आपके पास इन-हाउस क्षमता की कमी है तो एक विश्वसनीय सुरक्षा पेशेवर को शामिल करें।.

अंतिम सिफारिशें — संक्षिप्त चेकलिस्ट

  • यदि आप myCred चला रहे हैं, तो तुरंत 2.9.7.1 में अपडेट करें।.
  • यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो निकासी प्रक्रिया को अक्षम करें या अनुमोदन अंत बिंदुओं तक पहुंच को सीमित करें।.
  • जब आप पैच कर रहे हों, तो बिना प्रमाणीकरण वाले अनुमोदन अनुरोधों को ब्लॉक करने के लिए एज या एप्लिकेशन नियम लागू करें।.
  • संदिग्ध गतिविधियों के लिए हाल के अनुमोदनों, सूचना ईमेल और भुगतान गेटवे लॉग का ऑडिट करें।.
  • प्रशासनिक खातों को मजबूत करें, कुंजी घुमाएं, और लॉगिंग और अलर्टिंग बढ़ाएं।.
  • उत्पादन में रोल करने से पहले अपडेट और पहुंच प्रतिबंधों का परीक्षण करने के लिए स्टेजिंग का उपयोग करें।.

कमजोरियां जो वित्तीय या अर्ध-वित्तीय प्रवाह को प्रभावित करती हैं, उनके लिए मापी गई, समय पर कार्रवाई की आवश्यकता होती है। पैचिंग को प्राथमिकता दें, सबूत को संरक्षित करें, और जांच के दौरान मुआवजा नियंत्रण लागू करें। यदि आपको सहायता की आवश्यकता है, तो अपनी सुरक्षा टीम या एक योग्य घटना प्रतिक्रिया प्रदाता से परामर्श करें।.

सतर्क रहें। हांगकांग और अन्य क्षेत्रों में जहां सक्रिय ई-कॉमर्स और सदस्यता पारिस्थितिकी तंत्र हैं, अंक प्रणाली वास्तविक मूल्य का प्रतिनिधित्व कर सकती है - उन्हें भुगतान प्रणालियों के समान सुरक्षा कठोरता के साथ संभालें।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा चेतावनी CSRF इमेज स्लाइडर(CVE202514454)

अगला लेख —

हांगकांग साइटों को विशलिस्ट इंजेक्शन (CVE20259207) से बचाना

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

सुरक्षा सलाहकार गतिशील रूप से पोस्ट प्रदर्शित करें SQL इंजेक्शन(CVE202511501)

  • अक्टूबर 15, 2025
वर्डप्रेस गतिशील रूप से पोस्ट प्रदर्शित करें प्लगइन <= 1.1 - अनधिकृत SQL इंजेक्शन भेद्यता
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा एनजीओ अलर्ट टेम्पलेटरा XSS(CVE202554747)

  • अगस्त 14, 2025
प्लगइन नाम टेम्पलेटरा भेद्यता का प्रकार XSS (क्रॉस-साइट स्क्रिप्टिंग) CVE संख्या CVE-2025-54747 तात्कालिकता कम CVE प्रकाशन तिथि 2025-08-14…