WordPress Freshchat प्लगइन <= 2.3.4 - क्रॉस साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता
प्लेटफ़ॉर्म
wordpress
घटक
freshchat
में ठीक किया गया
2.3.5
CVE-2025-64240 describes a Cross-Site Request Forgery (CSRF) vulnerability discovered in the Freshchat WordPress plugin. This vulnerability allows an attacker to trick a user into performing actions they didn't intend, potentially leading to unauthorized modifications or data exposure within the Freshchat environment. The vulnerability impacts versions from 0.0.0 up to and including 2.3.4, and a patch is available in version 2.3.5.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
A successful CSRF attack could allow an attacker to modify Freshchat configurations, access or delete customer data, or perform other administrative actions as the logged-in user. The impact is directly tied to the privileges of the user being targeted. For instance, an administrator account compromised via CSRF could grant the attacker full control over the Freshchat instance and potentially the broader WordPress site. This vulnerability highlights the importance of proper CSRF protection mechanisms within web applications, especially those handling sensitive user data.
शोषण संदर्भअनुवाद हो रहा है…
CVE-2025-64240 was publicly disclosed on 2025-12-16. No public proof-of-concept (PoC) code has been identified as of this writing. The EPSS score is pending evaluation. It is recommended to monitor security advisories and threat intelligence feeds for any signs of active exploitation.
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress sites utilizing the Freshchat plugin, particularly those with administrator accounts that are frequently targeted or have weak password policies, are at increased risk. Shared hosting environments where multiple WordPress installations share the same server resources are also more vulnerable, as a compromise of one site could potentially impact others.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r 'freshchat_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-freshchat-site.com/wp-admin/admin-ajax.php?action=freshchat_settings_update&setting_name=some_setting&setting_value=some_value -vहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 1Kआला
- प्लगइन रेटिंग
- 2.9
- WordPress आवश्यक
- 3.0.1+
- संगत संस्करण तक
- 5.8.13
- PHP आवश्यक
- 5.2.4+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation is to upgrade the Freshchat WordPress plugin to version 2.3.5 or later, which contains the fix. If immediate upgrading is not possible, implement temporary mitigations such as enabling a Web Application Firewall (WAF) with CSRF protection rules. Additionally, enforce strict user input validation and consider implementing double opt-in for sensitive actions within Freshchat. Regularly review Freshchat configurations and user permissions to identify and address any potential vulnerabilities. After upgrading, confirm the fix by attempting a CSRF attack against a test user account and verifying that the action is blocked.
कैसे ठीक करें
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-64240 — CSRF in Freshchat WordPress plugin?
CVE-2025-64240 is a Cross-Site Request Forgery (CSRF) vulnerability affecting Freshchat WordPress plugin versions 0.0.0–2.3.4, allowing attackers to perform unauthorized actions.
Am I affected by CVE-2025-64240 in Freshchat WordPress plugin?
You are affected if you are using Freshchat WordPress plugin versions 0.0.0 through 2.3.4. Upgrade to 2.3.5 or later to mitigate the risk.
How do I fix CVE-2025-64240 in Freshchat WordPress plugin?
Upgrade the Freshchat WordPress plugin to version 2.3.5 or later. Implement WAF rules and user input validation as temporary mitigations.
Is CVE-2025-64240 being actively exploited?
No active exploitation has been confirmed as of this writing, but it's crucial to apply the patch promptly.
Where can I find the official Freshchat advisory for CVE-2025-64240?
Refer to the Freshchat official website and WordPress plugin repository for the latest advisory and update information.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।