प्लेटफ़ॉर्म
wordpress
घटक
dashboard-builder
में ठीक किया गया
1.5.8
डैशबोर्ड बिल्डर – चार्ट और ग्राफ के लिए वर्डप्रेस प्लगइन में एक SQL इंजेक्शन भेद्यता पाई गई है। इस भेद्यता के कारण, हमलावर दुर्भावनापूर्ण SQL क्वेरी को इंजेक्ट करके डेटाबेस तक अनधिकृत पहुंच प्राप्त कर सकते हैं। यह भेद्यता प्लगइन के संस्करण 1.0.0 से 1.5.7 तक मौजूद है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने की अनुमति देती है, जिसमें उपयोगकर्ता नाम, पासवर्ड और अन्य गोपनीय डेटा शामिल हो सकते हैं। हमलावर डेटाबेस को भी संशोधित कर सकते हैं, जिससे वेबसाइट की कार्यक्षमता बाधित हो सकती है या डेटा हानि हो सकती है। चूंकि यह क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता के माध्यम से शोषण किया जाता है, इसलिए हमलावर को साइट व्यवस्थापक को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए बरगलाने की आवश्यकता होती है। यह भेद्यता वर्डप्रेस वेबसाइटों के लिए एक गंभीर खतरा है, खासकर उन वेबसाइटों के लिए जो संवेदनशील डेटा संग्रहीत करती हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण संभव है। इस भेद्यता को KEV (Know Exploited Vulnerabilities) सूची में जोड़ा गया है, जो इसके संभावित खतरे को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, जो हमलावरों के लिए इसका शोषण करना आसान बनाते हैं।
WordPress websites utilizing the DASHBOARD BUILDER plugin, particularly those with shared hosting environments, are at risk. Sites with weak administrator password policies or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations running older versions of PHP may also be more susceptible due to potential differences in SQL query parsing.
• wordpress / composer / npm:
grep -r "dashboardbuilder-admin.php" /var/www/html/• wordpress / composer / npm:
wp plugin list | grep DASHBOARD BUILDER• wordpress / composer / npm:
wp plugin update --all• generic web: Check for unusual database activity in WordPress error logs, specifically related to SQL queries originating from the DASHBOARD BUILDER plugin.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, साइट व्यवस्थापकों को CSRF हमलों से बचाने के लिए मजबूत पासवर्ड का उपयोग करना चाहिए और संदिग्ध लिंक पर क्लिक करने से बचना चाहिए। वर्डप्रेस सुरक्षा प्लगइन का उपयोग करके भी इस भेद्यता का पता लगाया जा सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के सभी कार्यों का परीक्षण करें।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया इस भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14615 डैशबोर्ड बिल्डर प्लगइन में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।
यदि आप डैशबोर्ड बिल्डर प्लगइन के संस्करण 1.0.0 से 1.5.7 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण संभव है।
आधिकारिक सलाहकार के लिए, कृपया प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस सुरक्षा वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।