प्लेटफ़ॉर्म
wordpress
घटक
acf-frontend-form-element
में ठीक किया गया
3.28.30
Frontend Admin by DynamiApps प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता पाई गई है। यह भेद्यता हमलावरों को बिना प्रमाणीकरण के व्यवस्थापक के रूप में पंजीकरण करने और साइट पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती है। यह भेद्यता प्लगइन के संस्करण 0.0.0 से 3.28.29 तक के सभी संस्करणों को प्रभावित करती है। संस्करण 3.28.30 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों के लिए साइट पर पूर्ण नियंत्रण प्राप्त करने का एक सीधा मार्ग प्रदान करती है। एक हमलावर बिना किसी प्रमाणीकरण के व्यवस्थापक के रूप में पंजीकरण कर सकता है, जिससे उन्हें सभी डेटा तक पहुंच प्राप्त हो जाएगी, कॉन्फ़िगरेशन बदल सकते हैं, और यहां तक कि दुर्भावनापूर्ण कोड भी अपलोड कर सकते हैं। यह साइट की सुरक्षा और अखंडता के लिए गंभीर खतरा है। इस भेद्यता का शोषण करने से वेबसाइट की प्रतिष्ठा को नुकसान हो सकता है, डेटा चोरी हो सकता है, और उपयोगकर्ताओं के लिए सेवा में व्यवधान हो सकता है। यह भेद्यता WordPress वेबसाइटों के लिए एक महत्वपूर्ण जोखिम है, खासकर उन वेबसाइटों के लिए जो इस प्लगइन का उपयोग करती हैं।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। भेद्यता 2026-01-09 को प्रकाशित हुई थी। सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन इसकी संभावना को कम नहीं आंका जा सकता है।
WordPress sites utilizing the Frontend Admin plugin, particularly those with publicly accessible user registration forms and legacy configurations, are at significant risk. Shared hosting environments where multiple WordPress installations share resources are also vulnerable, as a compromise of one site could potentially impact others.
• wordpress: Use wp-cli to check the installed plugin version:
wp plugin list | grep Frontend Admin• wordpress: Examine the wp-config.php file for any unusual configurations related to user roles or registration.
• wordpress: Review WordPress access logs for suspicious user registration attempts with the role set to 'administrator'.
• generic web: Monitor access logs for requests to the user registration endpoint with manipulated Role parameters.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तुरंत प्लगइन को संस्करण 3.28.30 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, उपयोगकर्ता पंजीकरण फ़ॉर्म में 'Role' फ़ील्ड को अक्षम करने पर विचार करें। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो दुर्भावनापूर्ण अनुरोधों को फ़िल्टर कर सके। WordPress के लिए सुरक्षा प्लगइन का उपयोग करने से भी अतिरिक्त सुरक्षा मिल सकती है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के नवीनतम संस्करण के साथ साइट का परीक्षण करें।
3.28.30 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14736 Frontend Admin by DynamiApps प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है जो हमलावरों को बिना प्रमाणीकरण के व्यवस्थापक के रूप में पंजीकरण करने की अनुमति देती है।
यदि आप Frontend Admin by DynamiApps प्लगइन के संस्करण 0.0.0 से 3.28.29 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, तुरंत प्लगइन को संस्करण 3.28.30 में अपडेट करें।
सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन इसकी संभावना को कम नहीं आंका जा सकता है।
आधिकारिक सलाहकार के लिए DynamiApps वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।