प्लेटफ़ॉर्म
wordpress
घटक
career-section
में ठीक किया गया
1.6.1
1.7
CVE-2025-14868 करियर सेक्शन वर्डप्रेस प्लगइन में एक गंभीर क्रॉस-साइट रिक्वेस्ट फोर्जिंग (CSRF) भेद्यता है। इस भेद्यता का उपयोग करके, हमलावर सर्वर पर मनमाना फ़ाइलें हटा सकते हैं। यह भेद्यता प्लगइन के सभी संस्करणों में मौजूद है, जिसमें 1.6 शामिल है। संस्करण 1.7 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को साइट व्यवस्थापकों को धोखा देकर सर्वर पर मनमाना फ़ाइलें हटाने की अनुमति देती है। CSRF हमले के लिए, हमलावर को व्यवस्थापक को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित करने की आवश्यकता होती है। यदि सफल हो, तो हमलावर महत्वपूर्ण सिस्टम फ़ाइलों को हटा सकता है, जिससे वेबसाइट का कामकाज बाधित हो सकता है या डेटा हानि हो सकती है। इस भेद्यता का उपयोग सर्वर के संवेदनशील डेटा तक पहुंचने या वेबसाइट को पूरी तरह से नियंत्रित करने के लिए भी किया जा सकता है। चूंकि यह एक CSRF भेद्यता है, इसलिए इसका शोषण करने के लिए हमलावर को व्यवस्थापक विशेषाधिकारों तक पहुंच की आवश्यकता होती है, लेकिन यह इसे कम खतरनाक नहीं बनाता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में ऐसा होने की संभावना है। हमलावरों द्वारा इसका सक्रिय शोषण किया जा सकता है, खासकर उन वेबसाइटों पर जिनमें कमजोर सुरक्षा उपाय हैं।
Websites utilizing the Career Section plugin, particularly those with WordPress administrators who are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a successful exploit on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'appform_options_page_html' /var/www/html/wp-content/plugins/career-section/• wordpress / composer / npm:
wp plugin list | grep 'career-section'• wordpress / composer / npm:
wp plugin update career-section --version=1.7• generic web: Check WordPress plugin directory for outdated versions of Career Section.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, प्लगइन को संस्करण 1.7 में अपडेट करना सबसे महत्वपूर्ण कदम है। यदि तत्काल अपडेट संभव नहीं है, तो CSRF टोकन को लागू करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है। इसके अतिरिक्त, साइट व्यवस्थापकों को संदिग्ध लिंक पर क्लिक करने से बचना चाहिए और मजबूत पासवर्ड का उपयोग करना चाहिए। प्लगइन फ़ाइलों में nonce सत्यापन और फ़ाइल पथ सत्यापन को मजबूत करने के लिए कोड समीक्षा भी की जा सकती है।
1.7 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14868 एक क्रॉस-साइट रिक्वेस्ट फोर्जिंग (CSRF) भेद्यता है जो करियर सेक्शन वर्डप्रेस प्लगइन में मौजूद है, जिससे हमलावर मनमाना फ़ाइलें हटा सकते हैं।
यदि आप करियर सेक्शन प्लगइन के संस्करण 1.6 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, प्लगइन को संस्करण 1.7 में अपडेट करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए PoC मौजूद हो सकते हैं, इसलिए सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए वर्डप्रेस सुरक्षा टीम की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।