| प्लगइन का नाम | ऐड यूजर मेटा |
|---|---|
| कमजोरियों का प्रकार | CSRF और स्टोर्ड XSS |
| CVE संख्या | CVE-2025-7688 |
| तात्कालिकता | मध्यम |
| CVE प्रकाशन तिथि | 2025-08-15 |
| स्रोत URL | CVE-2025-7688 |
तत्काल सुरक्षा सलाह: ऐड यूजर मेटा प्लगइन (<= 1.0.1) — CSRF → स्टोर्ड XSS (CVE-2025-7688)
तारीख: 15 अगस्त 2025
लेखक: हांगकांग सुरक्षा विशेषज्ञ
सारांश
- भेद्यता: क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) जो स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (XSS) को सक्षम बनाती है
- Affected software: Add User Meta WordPress plugin, versions ≤ 1.0.1
- CVE: CVE-2025-7688
- आवश्यक विशेषाधिकार: बिना प्रमाणीकरण (हमलावर वेब से शोषण कर सकता है)
- सार्वजनिक सुधार: प्रकटीकरण के समय कोई उपलब्ध नहीं
- सिफारिश: तुरंत कम करें — प्लगइन को हटा दें या निष्क्रिय करें, अपने WAF या सर्वर फ़ायरवॉल के माध्यम से वर्चुअल पैचिंग लागू करें, और नीचे दिए गए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.
यह सलाह तकनीकी विवरण, शोषण परिदृश्य, पहचान और रोकथाम प्रक्रियाएँ, प्लगइन लेखकों के लिए कोड-स्तरीय सुधार, वर्चुअल पैच नियम जो आप तुरंत लागू कर सकते हैं, और दीर्घकालिक हार्डनिंग मार्गदर्शन का वर्णन करती है।.
क्या हुआ (संक्षेप में)
ऐड यूजर मेटा प्लगइन एक एंडपॉइंट या क्रिया को उजागर करता है जो उचित CSRF सुरक्षा के बिना और इनपुट को मान्य या स्वच्छ किए बिना उपयोगकर्ता मेटाडेटा को जोड़ने या अपडेट करने की अनुमति देता है। कोई प्रभावी नॉनस/CSRF जांच नहीं है और उपयोगकर्ता द्वारा प्रदान किया गया डेटा सुरक्षित रूप से एस्केप किए बिना संग्रहीत और आउटपुट किया जाता है। एक हमलावर अनुरोध तैयार कर सकता है (या एक प्रमाणित उपयोगकर्ता को एक सबमिट करने के लिए धोखा दे सकता है) जो उपयोगकर्ता मेटा फ़ील्ड में स्क्रिप्ट-आधारित पेलोड को स्थायी रूप से रखता है। वे पेलोड बाद में उन पृष्ठों या प्रशासनिक दृश्य में प्रदर्शित होते हैं जहाँ मेटा मानों को प्रतिध्वनित किया जाता है, जिससे स्टोर्ड XSS होता है।.
चूंकि समस्या को बिना प्रमाणीकरण वाले हमलावरों द्वारा शोषित किया जा सकता है, जोखिम बढ़ जाता है: स्थायी पेलोड प्रशासकों और साइट आगंतुकों दोनों को प्रभावित कर सकते हैं।.
यह क्यों गंभीर है
स्टोर्ड XSS वर्डप्रेस जैसे प्लेटफार्मों पर सबसे खतरनाक क्लाइंट-साइड भेद्यताओं में से एक है:
- स्थायी निष्पादन: दुर्भावनापूर्ण जावास्क्रिप्ट सर्वर पर संग्रहीत होती है और जब भी कमजोर पृष्ठ को देखा जाता है, तब निष्पादित होती है।.
- प्रशासनिक समझौता: यदि एक प्रशासक उस पृष्ठ या प्रोफ़ाइल को देखता है जहाँ असुरक्षित मेटा प्रदर्शित होता है, तो हमलावर सत्रों को हाईजैक कर सकते हैं या विशेषाधिकार प्राप्त क्रियाएँ कर सकते हैं।.
- प्रतिष्ठा और SEO क्षति: इंजेक्टेड सामग्री स्पैम, विज्ञापन, या फ़िशिंग प्रदान कर सकती है, जिससे विश्वास और खोज दृश्यता को नुकसान होता है।.
- स्वचालित शोषण: सार्वजनिक प्रकटीकरण सामान्यतः स्वचालित स्कैन और सामूहिक शोषण को ट्रिगर करता है; तुरंत कार्य करें।.
इस समस्या का अनुमानित CVSS-जैसा मूल्यांकन लगभग 7.1 (मध्यम/उच्च) है। बिना प्रमाणीकरण, स्थायी लेखन क्षमता को देखते हुए, इसे कार्यान्वयन योग्य मानें।.
तकनीकी विश्लेषण
इस कमजोरियों वर्ग में आमतौर पर देखे जाने वाले मूल कारण:
- CSRF सुरक्षा की कमी (कोई nonce / कोई check_admin_referer / wp_verify_nonce नहीं)।.
- बिना प्रमाणीकरण या अपर्याप्त रूप से अधिकृत अनुरोधों को उपयोगकर्ता मेटा लिखने की अनुमति देना।.
- इनपुट मान्यता की कमी (मनमाने HTML या स्क्रिप्ट पेलोड स्वीकार करना)।.
- असुरक्षित आउटपुट (esc_html(), esc_attr(), या wp_kses() के बिना मेटा मानों को इको करना)।.
सामान्य कमजोर प्रवाह:
- प्लगइन एक एंडपॉइंट (AJAX, REST, या फॉर्म हैंडलर) पंजीकृत करता है जो user_id, meta_key, meta_value स्वीकार करता है।.
- एंडपॉइंट सीधे wp_usermeta में add_user_meta() / update_user_meta() का उपयोग करके लिखता है बिना मूल की पुष्टि किए या meta_value को साफ किए।.
- Later, the plugin or other code outputs that meta value in HTML without escaping, allowing
