प्लेटफ़ॉर्म
wordpress
घटक
mamurjor-employee-info
में ठीक किया गया
1.0.1
Mamurjor Employee Info वर्डप्रेस प्लगइन में क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। इस भेद्यता के कारण, हमलावर एक दुर्भावनापूर्ण अनुरोध बनाकर साइट प्रशासकों को धोखा दे सकते हैं और अनधिकृत रूप से कर्मचारी रिकॉर्ड, विभाग, पदनाम और अन्य संवेदनशील डेटा में बदलाव कर सकते हैं। यह भेद्यता Mamurjor Employee Info के संस्करण 1.0.0 और उससे पहले के सभी संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपग्रेड करके इस समस्या का समाधान किया जा सकता है।
CSRF भेद्यता का फायदा उठाकर, एक हमलावर साइट प्रशासक के खाते का उपयोग करके डेटा में अनधिकृत परिवर्तन कर सकता है। हमलावर एक दुर्भावनापूर्ण लिंक या फॉर्म बनाकर प्रशासक को धोखा दे सकता है, जिससे हमलावर के नियंत्रण वाला अनुरोध निष्पादित हो जाएगा। इससे कर्मचारी रिकॉर्ड का गलत होना, संवेदनशील जानकारी का खुलासा या अन्य अनपेक्षित परिणाम हो सकते हैं। इस भेद्यता का उपयोग डेटा की अखंडता को खतरे में डालने और साइट के संचालन को बाधित करने के लिए किया जा सकता है। चूंकि यह एक CSRF भेद्यता है, इसलिए हमलावर को प्रशासक को कार्रवाई करने के लिए धोखा देने की आवश्यकता होती है, लेकिन इसके बावजूद, यह एक महत्वपूर्ण जोखिम प्रस्तुत करता है, खासकर उन साइटों के लिए जहां प्रशासक नियमित रूप से प्लगइन के माध्यम से डेटा प्रबंधित करते हैं।
CVE-2025-13990 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन CSRF भेद्यता के कारण, इसका फायदा उठाया जा सकता है। यह भेद्यता 2026-01-07 को प्रकाशित हुई थी। सक्रिय शोषण अभियान की कोई जानकारी नहीं है।
WordPress sites utilizing the Mamurjor Employee Info plugin, particularly those managing sensitive employee data or with limited security controls, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'admin.php' /var/www/html/wp-content/plugins/mamurjor-employee-info/• wordpress / composer / npm:
wp plugin list --status=inactive | grep mamurjor-employee-info• wordpress / composer / npm:
wp plugin list | grep mamurjor-employee-infodisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-13990 को कम करने के लिए, सबसे महत्वपूर्ण कदम Mamurjor Employee Info प्लगइन को नवीनतम संस्करण में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF टोकन सत्यापन को लागू किया जा सकता है। WAF नियमों को इस तरह कॉन्फ़िगर किया जाना चाहिए कि वे संदिग्ध अनुरोधों को ब्लॉक कर सकें। इसके अतिरिक्त, प्रशासकों को संदिग्ध लिंक पर क्लिक करने से बचने और हमेशा सुरक्षित कनेक्शन (HTTPS) का उपयोग करने के लिए प्रोत्साहित किया जाना चाहिए। प्लगइन के कोड में nonce सत्यापन को मैन्युअल रूप से लागू करना एक और विकल्प है, लेकिन इसके लिए वर्डप्रेस विकास का गहन ज्ञान आवश्यक है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए प्लगइन की कार्यक्षमता का परीक्षण करें कि यह ठीक से काम कर रहा है और कोई नई समस्या नहीं है।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता (vulnerability) के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय (mitigations) लागू करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-13990 Mamurjor Employee Info प्लगइन में क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जहां nonce सत्यापन की कमी के कारण हमलावर प्रशासकों को धोखा दे सकते हैं।
यदि आप Mamurjor Employee Info के संस्करण 1.0.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-13990 को ठीक करने के लिए, Mamurjor Employee Info प्लगइन को नवीनतम संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।
सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन CSRF भेद्यता के कारण इसका फायदा उठाया जा सकता है।
आधिकारिक सलाहकार के लिए Mamurjor Employee Info वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।