प्लेटफ़ॉर्म
wordpress
घटक
tablemaster-for-elementor
में ठीक किया गया
1.3.7
TableMaster for Elementor प्लगइन में सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को वेब अनुरोधों को मनमाने स्थानों पर भेजने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता प्लगइन के 1.0.0 से 1.3.6 तक के सभी संस्करणों को प्रभावित करती है। प्लगइन के संस्करण 1.3.7 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता हमलावरों को प्लगइन के माध्यम से आंतरिक सेवाओं तक पहुंचने और संवेदनशील डेटा को उजागर करने की अनुमति देती है। विशेष रूप से, हमलावर csv_url पैरामीटर का उपयोग करके wp-config.php जैसी फ़ाइलों को पढ़ सकते हैं, जिसमें डेटाबेस क्रेडेंशियल और अन्य महत्वपूर्ण कॉन्फ़िगरेशन जानकारी शामिल हो सकती है। चूंकि भेद्यता के लिए लेखक-स्तरीय एक्सेस की आवश्यकता होती है, इसलिए यह उन वेबसाइटों के लिए एक महत्वपूर्ण जोखिम है जहां हमलावरों को व्यवस्थापक अधिकारों तक पहुंच प्राप्त करने का अवसर मिलता है। इस भेद्यता का उपयोग आंतरिक नेटवर्क संसाधनों को स्कैन करने और आगे के हमलों के लिए प्रवेश बिंदु स्थापित करने के लिए भी किया जा सकता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी CVSS स्कोर 7.2 है, जो इसे उच्च जोखिम वाला बनाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन SSRF भेद्यता का शोषण करने के लिए कई सामान्य तकनीकें हैं जिनका उपयोग हमलावर कर सकते हैं। NVD और CISA ने इस CVE के लिए कोई अपडेट जारी नहीं किया है।
WordPress websites utilizing the TableMaster for Elementor plugin, particularly those with shared hosting environments or legacy configurations, are at risk. Sites where the 'csv_url' parameter is exposed to users with Author or higher roles are especially vulnerable.
• wordpress / composer / npm:
grep -r 'csv_url' /var/www/html/wp-content/plugins/tablemaster-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=tablemaster_import_csv&csv_url=http://internal-server/sensitive-file.txt• wordpress / composer / npm:
wp plugin list --status=active | grep tablemaster-for-elementordisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, TableMaster for Elementor प्लगइन को संस्करण 1.3.7 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि csv_url पैरामीटर के माध्यम से भेजे गए अनुरोधों को फ़िल्टर किया जा सके और केवल विश्वसनीय स्रोतों से अनुरोधों की अनुमति दी जा सके। इसके अतिरिक्त, आप प्लगइन की कॉन्फ़िगरेशन फ़ाइलों में एक्सेस प्रतिबंधों को लागू कर सकते हैं ताकि आंतरिक सेवाओं तक अनधिकृत पहुंच को रोका जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के नवीनतम संस्करण के साथ एक बुनियादी SSRF परीक्षण करें।
1.3.7 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14610 TableMaster for Elementor प्लगइन में सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जिससे हमलावर आंतरिक सेवाओं तक पहुंच सकते हैं।
यदि आप TableMaster for Elementor प्लगइन के संस्करण 1.0.0 से 1.3.6 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
TableMaster for Elementor प्लगइन को संस्करण 1.3.7 या बाद के संस्करण में अपडेट करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, लेकिन SSRF भेद्यता का शोषण करने के लिए सामान्य तकनीकें मौजूद हैं।
आधिकारिक TableMaster प्लगइन सलाहकार के लिए कृपया प्लगइन डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।