प्लेटफ़ॉर्म
wordpress
घटक
wp-change-status-notifier
में ठीक किया गया
1.0.1
CVE-2025-13521 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो WP Status Notifier नामक वर्डप्रेस प्लगइन में पाई गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से प्लगइन सेटिंग्स को बदलने की अनुमति देती है, जिससे संभावित रूप से वेबसाइट की सुरक्षा से समझौता हो सकता है। यह भेद्यता WP Status Notifier के संस्करण 1.0.0 से 1.0 तक प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक किया जा सकता है।
यह CSRF भेद्यता हमलावरों को वर्डप्रेस साइट के व्यवस्थापक को धोखा देने की अनुमति देती है ताकि वे दुर्भावनापूर्ण कार्रवाई करें, जैसे कि प्लगइन की सेटिंग्स को बदलना। हमलावर एक नकली अनुरोध बना सकता है जो व्यवस्थापक को अनजाने में कार्रवाई करने के लिए प्रेरित करता है। उदाहरण के लिए, हमलावर एक दुर्भावनापूर्ण लिंक बना सकता है और व्यवस्थापक को उस पर क्लिक करने के लिए प्रेरित कर सकता है। यदि व्यवस्थापक लिंक पर क्लिक करता है, तो हमलावर प्लगइन की सेटिंग्स को बदल सकता है, जिससे वेबसाइट की सुरक्षा से समझौता हो सकता है। इस भेद्यता का उपयोग वेबसाइट को दुर्भावनापूर्ण सामग्री प्रदर्शित करने, उपयोगकर्ताओं को संवेदनशील जानकारी प्रदान करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए किया जा सकता है।
CVE-2025-13521 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन CSRF भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बना सकते हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। NVD और CISA ने इस CVE के लिए प्रकाशन तिथियां जारी की हैं।
WordPress websites utilizing the WP Status Notifier plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable. Legacy WordPress installations with outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'wp_status_notifier_settings_update' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-status-notifier'• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-13521 को कम करने का सबसे प्रभावी तरीका WP Status Notifier प्लगइन को नवीनतम संस्करण में अपडेट करना है। यदि प्लगइन को तुरंत अपडेट करना संभव नहीं है, तो आप अस्थायी रूप से CSRF सुरक्षा को मजबूत करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जा सकता है जिनमें वैध nonce सत्यापन नहीं है। इसके अतिरिक्त, सुनिश्चित करें कि आपके वर्डप्रेस व्यवस्थापक खाते में मजबूत पासवर्ड हैं और दो-कारक प्रमाणीकरण सक्षम है। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए प्लगइन सेटिंग्स की समीक्षा करें कि वे अपेक्षित रूप से कॉन्फ़िगर किए गए हैं।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया इस भेद्यता (vulnerability) के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय (mitigations) लागू करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-13521 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो WP Status Notifier प्लगइन को प्रभावित करती है, जिससे हमलावर प्लगइन सेटिंग्स को बदल सकते हैं।
यदि आप WP Status Notifier प्लगइन के संस्करण 1.0.0 से 1.0 तक चला रहे हैं, तो आप प्रभावित हैं।
WP Status Notifier प्लगइन को नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक करें।
CVE-2025-13521 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन CSRF भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं।
WP Status Notifier प्लगइन के डेवलपर की वेबसाइट पर आधिकारिक सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।