मुफ्त स्कैन करें
MEDIUMCVE-2025-14976CVSS 5.4

यूजर रजिस्ट्रेशन & सदस्यता <= 4.4.8 - मनमाने पोस्ट हटाने के लिए क्रॉस-साइट रिक्वेस्ट फोर्जरी

प्लेटफ़ॉर्म

wordpress

घटक

user-registration

में ठीक किया गया

4.4.9

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। इस भेद्यता के कारण, हमलावर साइट प्रशासक को धोखा देकर मनमाने पोस्ट को हटा सकते हैं। यह भेद्यता WordPress के संस्करण 0.0.0 से 4.4.8 तक के संस्करणों को प्रभावित करती है। संस्करण 4.4.9 में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को साइट प्रशासक की भूमिका का लाभ उठाने की अनुमति देती है, जिससे वे साइट पर मनमाने पोस्ट को हटा सकते हैं। यह डेटा हानि, साइट की अखंडता का उल्लंघन और संभावित रूप से साइट के संचालन में व्यवधान का कारण बन सकता है। हमलावर एक दुर्भावनापूर्ण लिंक बनाकर या एक स्क्रिप्ट के माध्यम से प्रशासक को धोखा दे सकते हैं जो स्वचालित रूप से पोस्ट को हटाने का अनुरोध करता है। चूंकि यह CSRF भेद्यता है, इसलिए हमलावर को प्रशासक को कार्रवाई करने के लिए मजबूर करने के लिए सोशल इंजीनियरिंग तकनीकों का उपयोग करने की आवश्यकता हो सकती है।

शोषण संदर्भ

यह भेद्यता अभी तक व्यापक रूप से शोषण नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण किया जा सकता है। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकी है।

कौन जोखिम में हैअनुवाद हो रहा है…

WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'user-registration-membership'

• wordpress / composer / npm:

wp plugin update user-registration-membership

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.02% (4% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L5.4MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकuser-registration
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0 – 4.4.84.4.9

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
60Kज्ञात
प्लगइन रेटिंग
4.8
WordPress आवश्यक
5.5+
संगत संस्करण तक
7.0
PHP आवश्यक
7.4+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-352

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, प्लगइन को संस्करण 4.4.9 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों को रोक सकता है। इसके अतिरिक्त, साइट प्रशासकों को संदिग्ध लिंक पर क्लिक करने से बचना चाहिए और अपने खातों के लिए मजबूत पासवर्ड का उपयोग करना चाहिए। गैर-जरूरी उपयोगकर्ताओं को व्यवस्थापक विशेषाधिकार देने से बचें।

कैसे ठीक करें

संस्करण 4.4.9 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-14976 — CSRF User Registration & Membership प्लगइन में क्या है?

CVE-2025-14976 WordPress के User Registration & Membership प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जिससे हमलावर साइट प्रशासक को धोखा देकर मनमाने पोस्ट को हटा सकते हैं।

क्या मैं CVE-2025-14976 से User Registration & Membership प्लगइन में प्रभावित हूं?

यदि आप User Registration & Membership प्लगइन के संस्करण 0.0.0 से 4.4.8 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2025-14976 से User Registration & Membership प्लगइन को कैसे ठीक करूं?

इस भेद्यता को ठीक करने के लिए, प्लगइन को संस्करण 4.4.9 में अपडेट करें।

क्या CVE-2025-14976 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि अभी तक व्यापक रूप से शोषण नहीं किया गया है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण किया जा सकता है।

मैं CVE-2025-14976 के लिए User Registration & Membership प्लगइन के आधिकारिक सलाहकार को कहां पा सकता हूं?

आधिकारिक सलाहकार के लिए कृपया प्लगइन डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें