CVE-2025-14468: CSRF in AMP for WP – Accelerated Mobile Pages

यह CSRF भेद्यता हमलावरों को लॉग-इन किए गए उपयोगकर्ताओं के रूप में कार्य करने और टिप्पणियाँ सबमिट करने की अनुमति देती है, भले ही उनके पास सामान्य रूप से ऐसा करने की अनुमति न हो। हमलावर एक दुर्भावनापूर्ण लिंक का उपयोग करके उपयोगकर्ता को क्लिक करने के लिए बरगला सकते हैं, जिससे अनधिकृत टिप्पणियाँ सबमिट हो सकती हैं। यह वेबसाइट की प्रतिष्ठा को नुकसान पहुंचा सकता है, गलत जानकारी फैला सकता है, या अन्य अनपेक्षित परिणाम उत्पन्न कर सकता है। यदि प्लगइन का टेम्प्लेट मोड सक्षम है, तो भेद्यता का फायदा उठाना आसान हो जाता है।

Websites using the AMP for WP plugin, particularly those with active comment sections and a significant number of logged-in users, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks targeting others.

• wordpress / composer / npm:

grep -r 'amp_theme_ajaxcomments' /var/www/html/wp-content/plugins/amp-wp/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'amp-wp'

• wordpress / composer / npm:

wp plugin update amp-wp --version=1.1.10

• wordpress / composer / npm:

wp plugin status amp-wp

• wordpress / composer / npm:

wp plugin list --all | grep 'AMP for WP'

1. 2026-01-07Disclosure

   disclosure

1. आरक्षित2025-12-10
2. प्रकाशित2026-01-07
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, AMP for WP प्लगइन को संस्करण 1.1.10 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों को ब्लॉक कर सके। इसके अतिरिक्त, सुनिश्चित करें कि प्लगइन का टेम्प्लेट मोड अक्षम है जब तक कि इसकी आवश्यकता न हो। नियमित रूप से सुरक्षा ऑडिट करें और प्लगइन को नवीनतम सुरक्षा पैच के साथ अपडेट रखें।

सक्रिय इंस्टॉलेशन

90Kलोकप्रिय

प्लगइन रेटिंग