प्लेटफ़ॉर्म
wordpress
घटक
findall-listing
में ठीक किया गया
1.0.6
CVE-2025-13538 FindAll Listing वर्डप्रेस प्लगइन में एक Privilege Escalation भेद्यता है। यह भेद्यता हमलावरों को बिना प्रमाणीकरण के व्यवस्थापक विशेषाधिकार प्राप्त करने की अनुमति देती है, जिससे साइट पर पूर्ण नियंत्रण हो सकता है। यह भेद्यता FindAll Listing प्लगइन के संस्करण 1.0.0 से 1.0.5 तक प्रभावित करती है। संस्करण 1.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों के लिए वर्डप्रेस साइट पर व्यवस्थापक के रूप में प्रवेश करने का एक सीधा मार्ग प्रदान करती है। एक बार व्यवस्थापक विशेषाधिकार प्राप्त हो जाने के बाद, हमलावर डेटा को संशोधित या हटा सकता है, दुर्भावनापूर्ण फ़ाइलें अपलोड कर सकता है, अन्य उपयोगकर्ताओं के खातों को नियंत्रित कर सकता है, और साइट की सुरक्षा को पूरी तरह से समझौता कर सकता है। चूंकि भेद्यता का शोषण करने के लिए FindAll Membership प्लगइन की भी आवश्यकता होती है, इसलिए उन साइटों पर जोखिम बढ़ जाता है जहां दोनों प्लगइन सक्रिय हैं। यह भेद्यता वेबसाइट की प्रतिष्ठा को नुकसान पहुंचा सकती है, संवेदनशील डेटा चोरी हो सकता है, और साइट की उपलब्धता बाधित हो सकती है।
CVE-2025-13538 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, इसका शोषण होने का खतरा है। यह भेद्यता सार्वजनिक रूप से ज्ञात है और सार्वजनिक रूप से उपलब्ध शोषण मौजूद हो सकते हैं। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल नहीं किया है।
WordPress sites utilizing both the FindAll Listing and FindAll Membership plugins, particularly those with legacy configurations or those that haven't implemented robust user access controls, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin: Use wp-cli plugin update to check the installed version of FindAll Listing.
• wordpress / plugin: Check the wp-config.php file for any unusual configurations related to user roles or registration parameters.
• wordpress / plugin: Search plugin files for the findalllistinguserregistrationadditional_params function and its usage.
• generic web: Monitor WordPress access logs for POST requests to the user registration endpoint with suspicious parameters, particularly those attempting to set the user role to 'administrator'.
grep -i 'administrator' /var/log/apache2/access.log | grep 'wp-login.php'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.15% (35% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-13538 को कम करने के लिए, FindAll Listing प्लगइन को तुरंत संस्करण 1.1 में अपडेट करें। यदि प्लगइन को तुरंत अपडेट करना संभव नहीं है, तो FindAll Membership प्लगइन को निष्क्रिय करने पर विचार करें, क्योंकि यह भेद्यता के शोषण के लिए आवश्यक है। इसके अतिरिक्त, वर्डप्रेस सुरक्षा प्लगइन का उपयोग करें जो संभावित हमलों का पता लगा सके और उन्हें रोक सके। नियमित रूप से वर्डप्रेस कोर, थीम और प्लगइन को अपडेट करना भी महत्वपूर्ण है ताकि ज्ञात भेद्यताओं से बचा जा सके। अपडेट के बाद, प्लगइन के नवीनतम संस्करण को सफलतापूर्वक स्थापित और सक्रिय किया गया है, यह सत्यापित करने के लिए साइट की कार्यक्षमता का परीक्षण करें।
संस्करण 1.1 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-13538 FindAll Listing प्लगइन में एक Privilege Escalation भेद्यता है जो हमलावरों को व्यवस्थापक विशेषाधिकार प्राप्त करने की अनुमति देती है यदि FindAll Membership प्लगइन भी सक्रिय है।
यदि आप FindAll Listing प्लगइन के संस्करण 1.0.0 से 1.0.5 का उपयोग कर रहे हैं और FindAll Membership प्लगइन भी सक्रिय है, तो आप प्रभावित हैं।
FindAll Listing प्लगइन को संस्करण 1.1 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो FindAll Membership प्लगइन को निष्क्रिय करें।
CVE-2025-13538 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने का खतरा है।
FindAll Listing प्लगइन के आधिकारिक सलाहकार के लिए, कृपया FindAll वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।