प्लेटफ़ॉर्म
wordpress
घटक
last-email-address-validator
में ठीक किया गया
1.7.2
LEAV Last Email Address Validator वर्डप्रेस प्लगइन में क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। इस भेद्यता के कारण, अनधिकृत हमलावर साइट प्रशासक को धोखा देकर प्लगइन सेटिंग्स को बदल सकते हैं। यह भेद्यता संस्करण 0.0.0 से 1.7.1 तक के संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह CSRF भेद्यता हमलावरों को वर्डप्रेस साइट के व्यवस्थापकों को धोखा देने की अनुमति देती है, जिससे वे दुर्भावनापूर्ण अनुरोधों को निष्पादित कर सकते हैं जो प्लगइन की सेटिंग्स को संशोधित करते हैं। हमलावर एक दुर्भावनापूर्ण लिंक बना सकते हैं या एक स्क्रिप्ट का उपयोग कर सकते हैं जो व्यवस्थापक के ब्राउज़र में स्वचालित रूप से अनुरोध भेजता है, जिससे उन्हें प्लगइन की कॉन्फ़िगरेशन को अनजाने में बदलने के लिए प्रेरित किया जा सकता है। इससे डेटा का समझौता, अनधिकृत पहुंच या साइट की कार्यक्षमता में अन्य समस्याएं हो सकती हैं। इस भेद्यता का शोषण करने के लिए हमलावर को व्यवस्थापक के सत्र को एक्सेस करने की आवश्यकता नहीं होती है, जिससे यह विशेष रूप से खतरनाक हो जाता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA KEV सूची में इस भेद्यता को जोड़ा गया है, जो इसके संभावित जोखिम को दर्शाता है। हमलावरों द्वारा इसका सक्रिय रूप से शोषण किए जाने की संभावना है, खासकर उन साइटों पर जिनमें पुराने संस्करण चल रहे हैं।
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-14853 को कम करने के लिए, LEAV Last Email Address Validator प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि CSRF हमलों को ब्लॉक किया जा सके। WAF नियमों को उन अनुरोधों को फ़िल्टर करने के लिए सेट किया जाना चाहिए जिनमें अपेक्षित nonce टोकन नहीं है। इसके अतिरिक्त, प्लगइन सेटिंग्स तक पहुंच को सीमित करने और व्यवस्थापकों को संदिग्ध लिंक पर क्लिक करने से बचने के लिए शिक्षित करने से जोखिम को कम करने में मदद मिल सकती है। अपडेट के बाद, प्लगइन सेटिंग्स की समीक्षा करके और यह सुनिश्चित करके कि वे अपेक्षित हैं, सत्यापन करें।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया अपने संगठन के जोखिम सहनशीलता के आधार पर भेद्यता के विवरण की गहराई से समीक्षा करें और शमन उपाय लागू करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14853 LEAV Last Email Address Validator वर्डप्रेस प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो हमलावरों को प्लगइन सेटिंग्स को बदलने की अनुमति देती है।
यदि आप LEAV Last Email Address Validator प्लगइन के संस्करण 0.0.0 से 1.7.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
LEAV Last Email Address Validator प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF हमलों को ब्लॉक करने के लिए WAF नियमों का उपयोग करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका सक्रिय रूप से शोषण किए जाने की संभावना है।
कृपया प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।