प्लेटफ़ॉर्म
wordpress
घटक
wp-db-booster
में ठीक किया गया
1.0.2
CVE-2025-14168 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो WP DB Booster नामक वर्डप्रेस प्लगइन में पाई गई है। यह भेद्यता हमलावरों को साइट प्रशासक को धोखा देकर डेटाबेस रिकॉर्ड, जैसे पोस्ट ड्राफ्ट, संशोधन, टिप्पणियाँ और मेटाडेटा को हटाने की अनुमति देती है। यह भेद्यता WP DB Booster के संस्करण 1.0.0 से 1.0.1 तक के सभी संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके या WAF का उपयोग करके इस भेद्यता को ठीक किया जा सकता है।
यह CSRF भेद्यता हमलावरों के लिए साइट डेटाबेस से संवेदनशील जानकारी को हटाने या साइट की कार्यक्षमता को बाधित करने का एक सीधा रास्ता प्रदान करती है। हमलावर एक दुर्भावनापूर्ण लिंक या फॉर्म का उपयोग करके साइट प्रशासक को धोखा दे सकते हैं, जिससे अनजाने में डेटाबेस रिकॉर्ड हटा दिए जाएंगे। इससे साइट की सामग्री का नुकसान हो सकता है, उपयोगकर्ताओं के लिए कार्यक्षमता बाधित हो सकती है, और साइट की प्रतिष्ठा को नुकसान हो सकता है। चूंकि यह भेद्यता गैर-प्रमाणित हमलावरों को प्रभावित करती है, इसलिए इसका शोषण करना अपेक्षाकृत आसान है, खासकर यदि हमलावर साइट प्रशासक को फ़िशिंग या सोशल इंजीनियरिंग तकनीकों के माध्यम से लक्षित कर सकता है।
CVE-2025-14168 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं, लेकिन CSRF भेद्यताओं का शोषण करना अपेक्षाकृत आसान है, खासकर यदि हमलावर साइट प्रशासक को फ़िशिंग या सोशल इंजीनियरिंग तकनीकों के माध्यम से लक्षित कर सकता है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि जल्द ही एक PoC जारी किया जा सकता है।
WordPress sites utilizing the WP DB Booster plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as an attacker could potentially exploit the vulnerability on one site to impact others.
• wordpress / composer / npm:
grep -r 'cleanup_all' /var/www/html/wp-content/plugins/wp-db-booster/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'wp-db-booster'• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=cleanup_all' | grep '200 OK'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-14168 को कम करने के लिए, सबसे प्रभावी उपाय WP DB Booster प्लगइन को नवीनतम संस्करण में अपडेट करना है, जिसमें भेद्यता को ठीक किया गया है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू किया जा सकता है ताकि गैर-सत्यापित CSRF अनुरोधों को ब्लॉक किया जा सके। WAF को उन विशिष्ट AJAX क्रियाओं को लक्षित करने के लिए कॉन्फ़िगर किया जाना चाहिए जो भेद्य हैं, जैसे कि cleanup_all। इसके अतिरिक्त, वर्डप्रेस साइट प्रशासकों को CSRF हमलों के बारे में जागरूक होना चाहिए और संदिग्ध लिंक या फॉर्म पर क्लिक करते समय सावधानी बरतनी चाहिए।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता (vulnerability) के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता (risk tolerance) के आधार पर शमन (mitigations) लागू करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14168 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो WP DB Booster प्लगइन के संस्करण 1.0.0–1.0.1 में पाई गई है, जिससे हमलावर डेटाबेस रिकॉर्ड हटा सकते हैं।
यदि आप WP DB Booster प्लगइन के संस्करण 1.0.0 या 1.0.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
WP DB Booster प्लगइन को नवीनतम संस्करण में अपडेट करें या गैर-सत्यापित अनुरोधों को रोकने के लिए WAF का उपयोग करें।
अभी तक सक्रिय शोषण के कोई प्रमाण नहीं हैं, लेकिन भेद्यता का शोषण करना आसान है।
आधिकारिक सलाह के लिए WP DB Booster प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस सुरक्षा सलाहकारियों की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।