प्लेटफ़ॉर्म
wordpress
घटक
helpdesk-contact-form
में ठीक किया गया
1.1.6
WordPress के HelpDesk Contact Form प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से प्लगइन की लाइसेंस ID और संपर्क फ़ॉर्म ID सेटिंग्स को अपडेट करने की अनुमति देती है, यदि वे साइट व्यवस्थापक को एक दुर्भावनापूर्ण कार्रवाई करने के लिए प्रेरित कर सकते हैं। यह भेद्यता प्लगइन के संस्करण 0.0.0 से लेकर 1.1.5 तक के संस्करणों को प्रभावित करती है। संस्करण 1.1.6 में इस समस्या का समाधान किया गया है।
यह CSRF भेद्यता हमलावरों के लिए प्लगइन की सेटिंग्स में अनधिकृत परिवर्तन करने का एक अवसर प्रदान करती है। एक सफल हमले के परिणामस्वरूप, हमलावर प्लगइन के व्यवहार को बदल सकता है, संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, या साइट के अन्य हिस्सों को लक्षित करने के लिए प्लगइन का उपयोग कर सकता है। चूंकि यह भेद्यता संपर्क फ़ॉर्म ID को प्रभावित करती है, इसलिए हमलावर फ़ॉर्म सबमिशन को पुनर्निर्देशित करके या फ़ॉर्म डेटा को संशोधित करके उपयोगकर्ताओं को धोखा देने में सक्षम हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि हमलावर साइट व्यवस्थापक को कार्रवाई करने के लिए प्रेरित करके, विशेषाधिकारों का लाभ उठा सकते हैं।
इस भेद्यता के बारे में सार्वजनिक जानकारी अभी तक सीमित है, लेकिन CSRF भेद्यताएँ अक्सर शोषण के लिए आसान होती हैं। यह भेद्यता अभी तक CISA KEV सूची में शामिल नहीं की गई है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (PoC) की जानकारी नहीं है, लेकिन यह संभावना है कि हमलावर इस भेद्यता का फायदा उठाने के लिए जल्द ही उपकरण विकसित कर सकते हैं।
WordPress sites utilizing the HelpDesk Contact Form plugin, particularly those with shared hosting environments or where administrators are routinely tricked into clicking on links from untrusted sources, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'handle_query_args' /var/www/html/wp-content/plugins/helpdesk-contact-form/• wordpress / composer / npm:
wp plugin list --status=all | grep 'helpdesk-contact-form'• wordpress / composer / npm:
wp plugin update helpdesk-contact-form --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (3% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, सबसे पहले HelpDesk Contact Form प्लगइन को संस्करण 1.1.6 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों को रोक सकता है। इसके अतिरिक्त, सुनिश्चित करें कि सभी व्यवस्थापकीय कार्यों के लिए उचित nonce सत्यापन लागू किया गया है। प्लगइन के कॉन्फ़िगरेशन फ़ाइलों की नियमित रूप से निगरानी करें ताकि अनधिकृत परिवर्तनों का पता लगाया जा सके। यदि संभव हो, तो प्लगइन के लिए सख्त पहुंच नियंत्रण लागू करें ताकि केवल अधिकृत उपयोगकर्ताओं को ही सेटिंग्स को संशोधित करने की अनुमति मिल सके।
1.1.6 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-13657 WordPress के HelpDesk Contact Form प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो हमलावरों को प्लगइन की सेटिंग्स को बदलने की अनुमति देती है।
यदि आप HelpDesk Contact Form प्लगइन के संस्करण 0.0.0 से 1.1.5 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
HelpDesk Contact Form प्लगइन को संस्करण 1.1.6 में अपडेट करें।
अभी तक सक्रिय शोषण की कोई सार्वजनिक जानकारी नहीं है, लेकिन यह संभावना है कि हमलावर इसका फायदा उठाने के लिए उपकरण विकसित कर सकते हैं।
कृपया WordPress प्लगइन के आधिकारिक सलाहकार के लिए WordPress.org वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।