CVE-2025-14465: CSRF in Sticky Action Buttons WordPress Plugin

यह भेद्यता हमलावरों को वर्डप्रेस साइट के व्यवस्थापक को धोखा देकर प्लगइन की सेटिंग्स को बदलने की अनुमति देती है। हमलावर दुर्भावनापूर्ण कॉन्फ़िगरेशन लागू कर सकते हैं, जैसे कि रीडायरेक्ट सेट करना, डेटा चोरी करना, या अन्य प्लगइन्स को प्रभावित करना। चूंकि यह CSRF भेद्यता है, इसलिए हमलावर को व्यवस्थापक को एक दुर्भावनापूर्ण लिंक पर क्लिक करने या एक विशेष कार्रवाई करने के लिए प्रेरित करने की आवश्यकता होती है। यह फ़िशिंग हमलों या अन्य सामाजिक इंजीनियरिंग तकनीकों के माध्यम से किया जा सकता है। इस भेद्यता का उपयोग साइट की सुरक्षा और अखंडता को खतरे में डालने के लिए किया जा सकता है।

WordPress websites utilizing the Sticky Action Buttons plugin, particularly those with administrative accounts that are susceptible to phishing attacks or social engineering, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromise on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'sabs_options_page_form_submit' /var/www/html/wp-content/plugins/sticky-action-buttons/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep sticky-action-buttons

• wordpress / composer / npm:

wp plugin list | grep sticky-action-buttons

1. 2026-01-07Disclosure

   disclosure

1. आरक्षित2025-12-10
2. प्रकाशित2026-01-07
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

CVE-2025-14465 को कम करने के लिए, सबसे प्रभावी उपाय प्लगइन को नवीनतम संस्करण में अपडेट करना है जिसमें भेद्यता का समाधान शामिल है। यदि अपडेट तुरंत संभव नहीं है, तो प्लगइन को अस्थायी रूप से निष्क्रिय करने पर विचार करें। इसके अतिरिक्त, सुनिश्चित करें कि आपके वर्डप्रेस साइट पर मजबूत सुरक्षा उपाय लागू हैं, जैसे कि मजबूत पासवर्ड, दो-कारक प्रमाणीकरण और नियमित सुरक्षा स्कैन। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने में भी मदद कर सकता है।