प्लेटफ़ॉर्म
wordpress
घटक
ns-ie-compatibility-fixer
में ठीक किया गया
2.1.6
एनएस आईई कम्पैटिबिलिटी फिक्सर वर्डप्रेस प्लगइन में क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। इस भेद्यता के कारण, हमलावर प्रशासकों को धोखे से कार्रवाई करने के लिए प्रेरित करके प्लगइन की सेटिंग्स को बदल सकते हैं। यह भेद्यता प्लगइन के सभी संस्करणों में मौजूद है, 2.1.5 सहित। प्लगइन को नवीनतम संस्करण में अपग्रेड करके या अस्थायी रूप से वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों का उपयोग करके इस समस्या का समाधान किया जा सकता है।
यह CSRF भेद्यता हमलावर को प्लगइन की सेटिंग्स को अनधिकृत रूप से बदलने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण लिंक बनाकर या एक फ़ॉर्म सबमिशन को ट्रिगर करके ऐसा कर सकते हैं जिसे एक प्रशासक अनजाने में क्लिक करता है। प्लगइन की सेटिंग्स को बदलकर, हमलावर वर्डप्रेस साइट की सुरक्षा को कमजोर कर सकता है या दुर्भावनापूर्ण सामग्री को इंजेक्ट कर सकता है। उदाहरण के लिए, हमलावर प्लगइन को कॉन्फ़िगर कर सकता है ताकि वह संवेदनशील डेटा को हमलावर के सर्वर पर भेज दे या साइट पर दुर्भावनापूर्ण कोड इंजेक्ट कर दे। इस भेद्यता का शोषण करने के लिए हमलावर को केवल एक प्रशासक खाते तक पहुंच की आवश्यकता होती है, जो इसे शोषण करने के लिए अपेक्षाकृत आसान बनाता है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन CSRF भेद्यताएँ आम तौर पर शोषण करने में आसान होती हैं। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो इस भेद्यता के शोषण को और आसान बना सकते हैं। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल नहीं किया है। इस भेद्यता के बारे में जानकारी 2026-01-07 को प्रकाशित की गई थी।
WordPress websites utilizing the NS IE Compatibility Fixer plugin, particularly those with shared hosting environments or where administrative privileges are not strictly controlled, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'settings_update' /var/www/html/wp-content/plugins/ns-ie-compatibility-fixer/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'ns-ie-compatibility-fixer'• generic web: Check for unusual plugin settings modifications in the WordPress admin panel. • generic web: Monitor WordPress access logs for suspicious requests targeting plugin settings endpoints.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, प्लगइन को नवीनतम संस्करण में अपग्रेड करना सबसे अच्छा तरीका है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF हमलों को ब्लॉक किया जा सकता है। WAF को प्लगइन के सेटिंग्स अपडेट एंडपॉइंट के लिए CSRF टोकन की आवश्यकता के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, प्रशासकों को संदिग्ध लिंक पर क्लिक करने से सावधान रहना चाहिए और केवल विश्वसनीय स्रोतों से ही वर्डप्रेस प्लगइन इंस्टॉल करने चाहिए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए प्लगइन की सेटिंग्स की समीक्षा करें कि वे अपेक्षित रूप से कॉन्फ़िगर किए गए हैं।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14845 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो NS IE Compatibility Fixer वर्डप्रेस प्लगइन को प्रभावित करती है, जिससे हमलावर प्लगइन सेटिंग्स को बदल सकते हैं।
यदि आप NS IE Compatibility Fixer प्लगइन के संस्करण 2.1.5 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, प्लगइन को नवीनतम संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो अस्थायी रूप से WAF नियमों का उपयोग करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन CSRF भेद्यताएँ शोषण करने में आसान होती हैं।
आधिकारिक सलाहकार के लिए प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।