WordPress PDF Creator Lite प्लगइन <= 1.2 - क्रॉस साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता
प्लेटफ़ॉर्म
wordpress
घटक
pdf-creator-lite
में ठीक किया गया
1.2.1
CVE-2025-49341 PDF Creator Lite में एक गंभीर क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जो संग्रहीत XSS की अनुमति देती है। यह भेद्यता हमलावरों को अनधिकृत क्रियाएं करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का समझौता हो सकता है। यह भेद्यता PDF Creator Lite के 0.0.0 से 1.2 तक के संस्करणों को प्रभावित करती है। 2025-12-09 को प्रकाशित, इस भेद्यता को कम करने के लिए तत्काल कार्रवाई की आवश्यकता है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह CSRF भेद्यता हमलावरों को PDF Creator Lite के माध्यम से अनधिकृत क्रियाएं करने की अनुमति देती है, क्योंकि वे उपयोगकर्ता की ओर से अनुरोधों को मजबूर कर सकते हैं। संग्रहीत XSS क्षमता का मतलब है कि दुर्भावनापूर्ण स्क्रिप्ट को PDF फ़ाइलों में इंजेक्ट किया जा सकता है, जो बाद में उपयोगकर्ताओं द्वारा खोले जाने पर निष्पादित हो सकती हैं। इससे उपयोगकर्ता सत्र अपहरण, संवेदनशील डेटा चोरी और वेबसाइट को समझौता करने जैसे गंभीर परिणाम हो सकते हैं। हमलावर लक्षित उपयोगकर्ताओं को दुर्भावनापूर्ण लिंक भेजने या दुर्भावनापूर्ण PDF फ़ाइलें वितरित करने के लिए CSRF का उपयोग कर सकते हैं।
शोषण संदर्भ
CVE-2025-49341 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है। हालाँकि, CSRF भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इसका फायदा उठाना आसान हो जाता है। CISA KEV सूची में शामिल होने की स्थिति अभी भी लंबित है।
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites utilizing the PDF Creator Lite plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the necessary updates. Sites with user-generated content processed by the plugin are especially susceptible.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r "PDF Creator Lite" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "PDF Creator Lite"• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-creator-lite/ | grep -i 'X-Frame-Options'हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- निम्न — कुछ डेटा तक आंशिक पहुंच।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 40
- प्लगइन रेटिंग
- 3.5
- WordPress आवश्यक
- 3.0.1+
- संगत संस्करण तक
- 4.3.34
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2025-49341 के लिए तत्काल शमन में PDF Creator Lite को 1.2 से ऊपर के नवीनतम संस्करण में अपडेट करना शामिल है। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन को लागू करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करके एप्लिकेशन कोड को मजबूत करें। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोका जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लिकेशन की कार्यक्षमता का परीक्षण करें।
कैसे ठीक करें
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2025-49341 — CSRF PDF Creator Lite में क्या है?
CVE-2025-49341 PDF Creator Lite में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो संग्रहीत XSS की अनुमति देती है, जिससे हमलावरों को अनधिकृत क्रियाएं करने की अनुमति मिलती है।
क्या मैं CVE-2025-49341 से PDF Creator Lite में प्रभावित हूं?
यदि आप PDF Creator Lite के 0.0.0 से 1.2 तक के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
मैं PDF Creator Lite में CVE-2025-49341 को कैसे ठीक करूं?
CVE-2025-49341 को ठीक करने के लिए, PDF Creator Lite को 1.2 से ऊपर के नवीनतम संस्करण में तुरंत अपडेट करें।
क्या CVE-2025-49341 सक्रिय रूप से शोषण किया जा रहा है?
CVE-2025-49341 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन CSRF भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
मैं PDF Creator Lite के लिए आधिकारिक सलाहकार CVE-2025-49341 कहां पा सकता हूं?
आधिकारिक सलाहकार के लिए PDF Creator Lite के डेवलपर की वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड की जाँच करें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।