CVE-2025-13520: CSRF in MTCaptcha WordPress Plugin

यह CSRF भेद्यता हमलावरों को साइट प्रशासकों को धोखा देकर प्लगइन की सेटिंग्स को बदलने की अनुमति देती है। सबसे महत्वपूर्ण रूप से, हमलावर निजी कुंजी को संशोधित कर सकते हैं, जिससे प्लगइन की सुरक्षा से समझौता हो सकता है और संभावित रूप से संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त हो सकती है। हमलावर अन्य सेटिंग्स को भी बदल सकते हैं, जिससे साइट की कार्यक्षमता प्रभावित हो सकती है या दुर्भावनापूर्ण कोड इंजेक्ट किया जा सकता है। चूंकि यह एक CSRF भेद्यता है, इसलिए हमलावर को साइट प्रशासक को एक दुर्भावनापूर्ण लिंक पर क्लिक करने या कार्रवाई करने के लिए प्रेरित करने की आवश्यकता होगी, जिससे यह शोषण के लिए अपेक्षाकृत आसान हो जाता है।

Websites utilizing the MTCaptcha WordPress plugin, particularly those with shared hosting environments where multiple administrators may have access. Legacy systems running older WordPress installations are also at increased risk, as they may not be regularly updated with the latest security patches.

• wordpress / composer / npm:

grep -r 'MTCaptcha/includes/settings.php' /var/www/html/

• wordpress / composer / npm:

wp plugin list | grep MTCaptcha

• wordpress / composer / npm:

wp plugin update --all

• generic web: Check WordPress plugin directory for version 2.7.3 or higher.

1. 2026-01-07Disclosure

   disclosure

1. आरक्षित2025-11-21
2. प्रकाशित2026-01-07
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, MTCaptcha WordPress प्लगइन को तुरंत संस्करण 2.7.3 में अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों को ब्लॉक कर सके। WAF नियमों को इस प्लगइन के विशिष्ट सेटिंग्स अपडेट एंडपॉइंट को लक्षित करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, सुनिश्चित करें कि साइट प्रशासकों को संदिग्ध लिंक पर क्लिक करने से रोकने के लिए CSRF जागरूकता प्रशिक्षण दिया जाए। प्लगइन के सेटिंग्स अपडेट फ़ंक्शन में nonce सत्यापन को मैन्युअल रूप से लागू करने पर विचार करें, लेकिन यह एक जटिल प्रक्रिया है और इसे सावधानीपूर्वक किया जाना चाहिए।