CRITICALCVE-2023-5820CVSS 9.6

WordPress के लिए थंबनेल स्लाइडर विद लाइटबॉक्स प्लगइन वर्जन 1.0 में क्रॉस-साइट रिक्वेस्ट फोर्जिंग (Cross-Site Request Forgery) की भेद्यता है। यह addedit कार्यक्षमता पर छूटे हुए या गलत nonce सत्यापन के कारण है।

प्लेटफ़ॉर्म

wordpress

घटक

wp-responsive-slider-with-lightbox

में ठीक किया गया

1.0.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026

NVD पर देखें

सहेजें

Thumbnail Slider With Lightbox प्लगइन में क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है, जो संस्करण 1.0 को प्रभावित करती है। इस भेद्यता के कारण, हमलावर साइट प्रशासक को धोखा देकर मनमाना फ़ाइलें अपलोड कर सकते हैं। यह भेद्यता गैर-प्रमाणीकृत उपयोगकर्ताओं को प्लगइन के 'addedit' कार्यक्षमता का दुरुपयोग करने की अनुमति देती है। WordPress वेबसाइटों को तत्काल कार्रवाई करने की आवश्यकता है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह CSRF भेद्यता हमलावरों को साइट प्रशासक की अनुमति के बिना मनमाना फ़ाइलें अपलोड करने की क्षमता प्रदान करती है। यह दुर्भावनापूर्ण कोड, जैसे कि वेबशेल अपलोड करने का मार्ग खोल सकता है, जिससे हमलावर वेबसाइट पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। इसके परिणामस्वरूप डेटा चोरी, वेबसाइट की विरूपण, या अन्य गंभीर परिणाम हो सकते हैं। चूंकि यह भेद्यता गैर-प्रमाणीकृत उपयोगकर्ताओं को प्रभावित करती है, इसलिए यह वेबसाइट की सुरक्षा के लिए एक महत्वपूर्ण खतरा है। इस भेद्यता का शोषण वेबसाइट की प्रतिष्ठा को नुकसान पहुंचा सकता है और उपयोगकर्ताओं के डेटा की गोपनीयता से समझौता कर सकता है।

शोषण संदर्भ

CVE-2023-5820 को 2023-10-27 को सार्वजनिक रूप से प्रकट किया गया था। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन CSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। इस भेद्यता की संभावना मध्यम है क्योंकि यह एक व्यापक रूप से उपयोग किए जाने वाले प्लगइन को प्रभावित करती है और इसका शोषण अपेक्षाकृत आसान हो सकता है।

कौन जोखिम में हैअनुवाद हो रहा है…

WordPress websites using the Thumbnail Slider With Lightbox plugin version 1.0 are at risk. Sites with administrative accounts that are frequently used or susceptible to phishing attacks are particularly vulnerable. Shared hosting environments where plugin updates are not managed by the user are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r 'addedit' /var/www/html/wp-content/plugins/thumbnail-slider-with-lightbox/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=addedit&new_filename=malicious.php | grep -i '200 OK'

हमले की समयरेखा

2023-10-27Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.10% (28% शतमक)

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction: आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope: बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality: उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity: उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability: उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकwp-responsive-slider-with-lightbox

विक्रेताnik00726

प्रभावित श्रेणीमें ठीक किया गया

1.0 – 1.01.0.1

पैकेज जानकारी

सक्रिय इंस्टॉलेशन: 700आला
प्लगइन रेटिंग: 3.8
WordPress आवश्यक: 3.5+
संगत संस्करण तक: 6.9.4

होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-352

समयरेखा

आरक्षित2023-10-26
प्रकाशित2023-10-27
संशोधित2025-02-05
EPSS अद्यतन2026-04-02

बिना पैच — प्रकाशन से 940 दिन

शमन और वर्कअराउंड

CVE-2023-5820 को कम करने के लिए, प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो CSRF हमलों को ब्लॉक करता है। इसके अतिरिक्त, सुनिश्चित करें कि साइट प्रशासकों को संदिग्ध लिंक पर क्लिक करने से रोकने के लिए CSRF सुरक्षा के बारे में प्रशिक्षित किया जाए। प्लगइन के 'addedit' कार्यक्षमता के लिए सख्त इनपुट सत्यापन लागू करें। अपडेट के बाद, जांचें कि nonce सत्यापन ठीक से काम कर रहा है।

कैसे ठीक करें

थंबनेल स्लाइडर विद लाइटबॉक्स प्लगइन को 1.0 से आगे के संस्करण में अपडेट करें। यह CSRF भेद्यता को ठीक करेगा जो हमलावरों को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए एक व्यवस्थापक को धोखा देने पर मनमाना फ़ाइलें अपलोड करने की अनुमति देता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2023-5820 — CSRF Thumbnail Slider With Lightbox में क्या है?

CVE-2023-5820 WordPress के Thumbnail Slider With Lightbox प्लगइन के संस्करण 1.0 में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जो हमलावरों को मनमाना फ़ाइलें अपलोड करने की अनुमति देती है।

क्या मैं CVE-2023-5820 से Thumbnail Slider With Lightbox में प्रभावित हूं?

यदि आप Thumbnail Slider With Lightbox प्लगइन के संस्करण 1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2023-5820 से Thumbnail Slider With Lightbox को कैसे ठीक करूं?

CVE-2023-5820 को ठीक करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करें।

क्या CVE-2023-5820 सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसका शोषण किया जा सकता है।

मैं Thumbnail Slider With Lightbox के लिए आधिकारिक सलाहकार CVE-2023-5820 कहां पा सकता हूं?

आधिकारिक सलाहकार के लिए, कृपया WordPress प्लगइन रिपॉजिटरी या प्लगइन डेवलपर की वेबसाइट देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

मुफ्त स्कैन करें CVE खोजें