Ays- रिस्पॉन्सिव स्लाइडर और कैरोसेल इमेज स्लाइडर <= 2.7.0 - मनमाने स्लाइडर हटाने के लिए क्रॉस-साइट रिक्वेस्ट फोर्जरी
प्लेटफ़ॉर्म
wordpress
घटक
ays-slider
में ठीक किया गया
2.7.1
CVE-2025-14454 describes a Cross-Site Request Forgery (CSRF) vulnerability discovered in the Image Slider by Ays WordPress plugin. This flaw allows unauthenticated attackers to potentially delete arbitrary sliders if they can trick a site administrator into performing a malicious action. The vulnerability affects versions from 0.0.0 through 2.7.0, and a patch has been released in version 2.7.1.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
The primary impact of this vulnerability is the unauthorized deletion of WordPress sliders. An attacker could craft a malicious link or embed a hidden form on a website that, when visited by an administrator, would trigger the deletion of sliders. This could disrupt website functionality, remove important content, and potentially cause reputational damage. While the vulnerability requires administrator interaction, the ease of crafting CSRF attacks makes it a significant risk, especially for sites with a large number of administrators or those that frequently share links.
शोषण संदर्भअनुवाद हो रहा है…
This vulnerability was publicly disclosed on 2025-12-13. No public proof-of-concept (PoC) code has been released at the time of writing, but the relatively simple nature of CSRF exploitation suggests that a PoC could emerge quickly. It is not currently listed on the CISA KEV catalog. The EPSS score is likely to be medium, reflecting the ease of exploitation and potential impact.
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites utilizing the Image Slider by Ays plugin, particularly those with multiple administrators or those that frequently share links containing administrative actions. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as an attacker could potentially exploit the vulnerability on one site to impact others.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r 'ays-responsive-slider-and-carousel/includes/functions.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep 'Image Slider by Ays'• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress admin activity logs for suspicious slider deletion events. • generic web: Monitor access logs for requests containing suspicious parameters related to slider deletion.
हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 100ज्ञात
- प्लगइन रेटिंग
- 5.0
- WordPress आवश्यक
- 4.0+
- संगत संस्करण तक
- 7.0
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The recommended mitigation is to immediately upgrade the Image Slider by Ays plugin to version 2.7.1 or later. If upgrading is not immediately feasible, consider implementing stricter access controls for slider management functions. Web Application Firewalls (WAFs) can be configured to detect and block suspicious CSRF requests targeting the plugin's bulk delete functionality. Monitor WordPress admin activity logs for unusual slider deletion events. After upgrading, verify the fix by attempting to trigger a slider deletion via a crafted CSRF request and confirming that it is blocked.
कैसे ठीक करें
संस्करण 2.7.1 में अपडेट करें, या एक नया पैच किया गया संस्करण
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-14454 — CSRF in Image Slider by Ays WordPress Plugin?
CVE-2025-14454 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Image Slider by Ays WordPress plugin, allowing unauthorized slider deletion.
Am I affected by CVE-2025-14454 in Image Slider by Ays WordPress Plugin?
You are affected if you are using the Image Slider by Ays plugin in versions 0.0.0 through 2.7.0. Upgrade to 2.7.1 or later to mitigate the risk.
How do I fix CVE-2025-14454 in Image Slider by Ays WordPress Plugin?
Upgrade the Image Slider by Ays plugin to version 2.7.1 or later. Consider implementing stricter access controls and WAF rules as additional precautions.
Is CVE-2025-14454 being actively exploited?
No active exploitation has been confirmed at this time, but the ease of CSRF exploitation suggests potential for future attacks.
Where can I find the official Image Slider by Ays advisory for CVE-2025-14454?
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।