CVE-2025-14904: CSRF in Newsletter Email Subscribe WordPress Plugin

यह CSRF भेद्यता हमलावरों को वर्डप्रेस साइट के व्यवस्थापकों को धोखा देने की अनुमति देती है ताकि वे दुर्भावनापूर्ण कार्रवाई करें, जैसे कि प्लगइन सेटिंग्स को बदलना। एक हमलावर एक दुर्भावनापूर्ण लिंक बना सकता है और व्यवस्थापक को उस पर क्लिक करने के लिए प्रेरित कर सकता है, जिससे हमलावर प्लगइन की सेटिंग्स को अपने नियंत्रण में ले सकता है। इससे ईमेल सदस्यता सूची में अनधिकृत परिवर्तन, स्पैम वितरण या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। इस भेद्यता का प्रभाव वेबसाइट की प्रतिष्ठा और डेटा की सुरक्षा पर पड़ सकता है।

WordPress websites utilizing the Newsletter Email Subscribe plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as attackers could potentially compromise multiple websites simultaneously.

• wordpress / composer / npm:

grep -r 'nels_settings_page' /var/www/html/wp-content/plugins/newsletter-email-subscribe/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'Newsletter Email Subscribe'

• wordpress / composer / npm:

wp plugin update --all

1. 2026-01-07Disclosure

   disclosure

1. आरक्षित2025-12-18
2. प्रकाशित2026-01-07
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, तुरंत प्लगइन को संस्करण 2.5.4 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों से सुरक्षा प्रदान करता है। इसके अतिरिक्त, सुनिश्चित करें कि वर्डप्रेस साइट पर सभी व्यवस्थापक खाते मजबूत पासवर्ड का उपयोग करते हैं और दो-कारक प्रमाणीकरण सक्षम करते हैं। प्लगइन सेटिंग्स में किसी भी परिवर्तन को करते समय सावधानी बरतें और केवल विश्वसनीय स्रोतों से लिंक पर क्लिक करें।