WordPress DX-Watermark प्लगइन <= 1.0.4 - मनमाना फ़ाइल अपलोड और XSS भेद्यता के लिए CSRF

CSRF भेद्यता का मतलब है कि एक हमलावर उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता के खाते के माध्यम से अनधिकृत क्रियाएं कर सकता है। उदाहरण के लिए, हमलावर उपयोगकर्ता की ओर से प्लगइन सेटिंग्स बदल सकता है, डेटा हटा सकता है या अन्य हानिकारक कार्य कर सकता है। चूंकि यह एक CSRF भेद्यता है, इसलिए हमलावर को उपयोगकर्ता को धोखा देकर कार्रवाई करने के लिए प्रेरित करने की आवश्यकता होगी, जैसे कि एक दुर्भावनापूर्ण लिंक पर क्लिक करना। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावर को उपयोगकर्ता की जानकारी के बिना सिस्टम तक पहुंच प्राप्त करने की अनुमति देती है।

Websites using the DX-Watermark plugin, particularly those with administrative users who frequently interact with the plugin's settings, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r 'dx_watermark_options' /var/www/html/wp-content/plugins/

• generic web:

curl -I https://example.com/wp-content/plugins/dx-watermark/ | grep Server

1. 2024-04-25Disclosure

   disclosure

1. आरक्षित2024-03-27
2. प्रकाशित2024-04-25
3. संशोधित2024-08-02
4. EPSS अद्यतन2026-04-02

CVE-2024-30560 को कम करने के लिए, सबसे पहले प्लगइन को संस्करण 1.0.5 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन लागू करने या उपयोगकर्ता इनपुट को मान्य करने जैसे अस्थायी समाधानों का उपयोग करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए भी किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता प्लगइन के नवीनतम संस्करण का उपयोग कर रहे हैं और संदिग्ध लिंक पर क्लिक करने से बचें। अपडेट के बाद, प्लगइन की सेटिंग्स की समीक्षा करके और यह सुनिश्चित करके कि कोई अनधिकृत परिवर्तन नहीं हुआ है, सत्यापन करें।