प्लेटफ़ॉर्म
wordpress
घटक
adminquickbar
में ठीक किया गया
1.9.4
CVE-2025-14630 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो WordPress के AdminQuickbar प्लगइन में पाई गई है। यह भेद्यता हमलावरों को प्लगइन सेटिंग्स को बदलने और साइट प्रशासक को धोखा देकर पोस्ट शीर्षकों को अपडेट करने की अनुमति देती है। यह भेद्यता AdminQuickbar प्लगइन के संस्करण 1.0.0 से 1.9.3 तक प्रभावित करती है, और इसे संस्करण 1.9.4 में ठीक कर दिया गया है।
CSRF भेद्यता का मतलब है कि एक हमलावर एक वैध उपयोगकर्ता के रूप में कार्य कर सकता है और उनकी अनुमति के बिना कार्रवाई कर सकता है। इस मामले में, एक हमलावर AdminQuickbar प्लगइन की सेटिंग्स को बदल सकता है, जिससे वेबसाइट की कार्यक्षमता प्रभावित हो सकती है। वे साइट प्रशासक को धोखा देकर पोस्ट शीर्षकों को भी अपडेट कर सकते हैं, जिससे गलत सूचना फैल सकती है। चूंकि यह भेद्यता AJAX क्रियाओं पर अपर्याप्त nonce सत्यापन के कारण है, इसलिए हमलावर एक दुर्भावनापूर्ण लिंक के माध्यम से प्रशासक को धोखा देने में सक्षम हो सकते हैं, जिससे अनजाने में कार्रवाई हो सकती है।
CVE-2025-14630 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन CSRF भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं। इस CVE को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, इसलिए सतर्क रहना और तुरंत पैच लागू करना महत्वपूर्ण है।
Sites running the AdminQuickbar plugin versions 1.0.0 through 1.9.3 are at risk, particularly those with active site administrators who frequently log in and interact with the plugin's settings. Shared WordPress hosting environments where plugin updates are not consistently managed are also at increased risk.
• wordpress / plugin:
wp plugin list | grep AdminQuickbar• wordpress / plugin: Check the version number of the AdminQuickbar plugin. Versions prior to 1.9.4 are vulnerable.
• wordpress / plugin: Examine the plugin's code for missing or incorrect nonce validation in the 'saveSettings' and 'renamePost' AJAX actions. Look for instances where user input is processed without proper verification.
• generic web: Monitor server access logs for suspicious requests originating from unfamiliar sources targeting the plugin's AJAX endpoints (e.g., wp-admin/admin-ajax.php).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, AdminQuickbar प्लगइन को संस्करण 1.9.4 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF हमलों को ब्लॉक करने का प्रयास किया जा सकता है। इसके अतिरिक्त, प्लगइन सेटिंग्स तक पहुंच को सीमित करने और उपयोगकर्ताओं को संदिग्ध लिंक पर क्लिक करने से सावधान रहने के लिए सुरक्षा उपाय लागू किए जा सकते हैं। सुनिश्चित करें कि सभी WordPress उपयोगकर्ताओं के पास नवीनतम सुरक्षा अपडेट स्थापित हैं।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया इस भेद्यता (vulnerability) के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय (mitigations) लागू करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14630 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो AdminQuickbar प्लगइन के पुराने संस्करणों में पाई गई है, जिससे हमलावर प्लगइन सेटिंग्स बदल सकते हैं।
यदि आप AdminQuickbar प्लगइन के संस्करण 1.0.0 से 1.9.3 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
AdminQuickbar प्लगइन को संस्करण 1.9.4 में अपडेट करें।
CVE-2025-14630 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन सतर्क रहना महत्वपूर्ण है।
WordPress सुरक्षा सलाहकारियों के लिए WordPress.org वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।