मुफ्त स्कैन करें
MEDIUMCVE-2025-15635CVSS 4.3

WordPress Smart Online Order for Clover प्लगइन <= 1.6.0 - क्रॉस साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता

प्लेटफ़ॉर्म

wordpress

घटक

clover-online-orders

में ठीक किया गया

1.6.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें

CVE-2025-15635 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो ZAYTECH Smart Online Order for Clover में पाई गई है। इस भेद्यता के कारण, हमलावर अनधिकृत क्रियाएं कर सकते हैं, जिससे डेटा हानि या सिस्टम समझौता हो सकता है। यह भेद्यता Smart Online Order for Clover के संस्करण 0.0.0 से 1.6.0 तक के संस्करणों को प्रभावित करती है। नवीनतम संस्करण में अपग्रेड करने या सुरक्षा उपायों को लागू करने से इस भेद्यता को कम किया जा सकता है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

CSRF भेद्यता का अर्थ है कि एक हमलावर उपयोगकर्ता की जानकारी के बिना, उनके खाते में अनधिकृत क्रियाएं कर सकता है। Smart Online Order for Clover के संदर्भ में, इसका मतलब है कि हमलावर ऑर्डर बदल सकते हैं, भुगतान जानकारी अपडेट कर सकते हैं, या अन्य संवेदनशील कार्यों को कर सकते हैं, जिससे वित्तीय नुकसान या डेटा उल्लंघन हो सकता है। यदि हमलावर उपयोगकर्ता को फ़िशिंग लिंक पर क्लिक करने या दुर्भावनापूर्ण वेबसाइट पर जाने के लिए प्रेरित कर सकता है, तो वे आसानी से इस भेद्यता का फायदा उठा सकते हैं। इस भेद्यता का उपयोग करके, हमलावर Clover सिस्टम तक अनधिकृत पहुंच प्राप्त कर सकते हैं और संवेदनशील डेटा चुरा सकते हैं।

शोषण संदर्भ

CVE-2025-15635 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन CSRF भेद्यताएँ आम हैं और इनका फायदा उठाना अपेक्षाकृत आसान है। यह भेद्यता KEV (CISA Known Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद नहीं हैं, लेकिन CSRF हमलों के लिए कई ऑनलाइन उपकरण और तकनीकें उपलब्ध हैं। NVD (National Vulnerability Database) में 2026-04-15 को प्रकाशित किया गया है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.02% (4% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकclover-online-orders
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 1.6.01.6.1

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
1Kआला
प्लगइन रेटिंग
4.9
WordPress आवश्यक
4.7.1+
संगत संस्करण तक
6.9.4
PHP आवश्यक
5.2.0+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-352

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 39 दिन

शमन और वर्कअराउंड

CVE-2025-15635 को कम करने के लिए, सबसे अच्छा तरीका है कि Smart Online Order for Clover को नवीनतम संस्करण में अपग्रेड किया जाए जिसमें यह भेद्यता ठीक की गई हो। यदि अपग्रेड संभव नहीं है, तो CSRF टोकन लागू किए जा सकते हैं, जो प्रत्येक अनुरोध के साथ एक अद्वितीय, अप्रत्याशित टोकन जोड़ते हैं। यह सुनिश्चित करता है कि केवल वैध अनुरोधों को संसाधित किया जाए। इसके अतिरिक्त, वेबसाइट को सख्त सामग्री सुरक्षा नीति (CSP) लागू करनी चाहिए ताकि दुर्भावनापूर्ण स्क्रिप्ट को लोड होने से रोका जा सके। WAF (वेब एप्लीकेशन फ़ायरवॉल) का उपयोग CSRF हमलों का पता लगाने और उन्हें ब्लॉक करने के लिए भी किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम का परीक्षण करें।

कैसे ठीक करें

कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-15635 — CSRF Smart Online Order for Clover क्या है?

CVE-2025-15635 ZAYTECH Smart Online Order for Clover में पाई गई एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जिससे हमलावर अनधिकृत क्रियाएं कर सकते हैं।

क्या मैं CVE-2025-15635 से Smart Online Order for Clover प्रभावित हूं?

यदि आप Smart Online Order for Clover के संस्करण 0.0.0 से 1.6.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं Smart Online Order for Clover में CVE-2025-15635 को कैसे ठीक करूं?

CVE-2025-15635 को ठीक करने के लिए, Smart Online Order for Clover को नवीनतम संस्करण में अपग्रेड करें या CSRF टोकन लागू करें और सख्त CSP लागू करें।

क्या CVE-2025-15635 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2025-15635 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन CSRF भेद्यताएँ आम हैं और इनका फायदा उठाना अपेक्षाकृत आसान है।

मैं Smart Online Order for Clover के लिए CVE-2025-15635 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

कृपया ZAYTECH की वेबसाइट या Smart Online Order for Clover के समर्थन पृष्ठ पर आधिकारिक सलाहकार देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें