प्लेटफ़ॉर्म
wordpress
घटक
user-registration
में ठीक किया गया
4.4.9
User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। इस भेद्यता के कारण, हमलावर साइट प्रशासक को धोखा देकर मनमाने पोस्ट को हटा सकते हैं। यह भेद्यता WordPress के संस्करण 0.0.0 से 4.4.8 तक के संस्करणों को प्रभावित करती है। संस्करण 4.4.9 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को साइट प्रशासक की भूमिका का लाभ उठाने की अनुमति देती है, जिससे वे साइट पर मनमाने पोस्ट को हटा सकते हैं। यह डेटा हानि, साइट की अखंडता का उल्लंघन और संभावित रूप से साइट के संचालन में व्यवधान का कारण बन सकता है। हमलावर एक दुर्भावनापूर्ण लिंक बनाकर या एक स्क्रिप्ट के माध्यम से प्रशासक को धोखा दे सकते हैं जो स्वचालित रूप से पोस्ट को हटाने का अनुरोध करता है। चूंकि यह CSRF भेद्यता है, इसलिए हमलावर को प्रशासक को कार्रवाई करने के लिए मजबूर करने के लिए सोशल इंजीनियरिंग तकनीकों का उपयोग करने की आवश्यकता हो सकती है।
यह भेद्यता अभी तक व्यापक रूप से शोषण नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण किया जा सकता है। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकी है।
WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/• wordpress / composer / npm:
wp plugin list --status=all | grep 'user-registration-membership'• wordpress / composer / npm:
wp plugin update user-registration-membershipdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, प्लगइन को संस्करण 4.4.9 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों को रोक सकता है। इसके अतिरिक्त, साइट प्रशासकों को संदिग्ध लिंक पर क्लिक करने से बचना चाहिए और अपने खातों के लिए मजबूत पासवर्ड का उपयोग करना चाहिए। गैर-जरूरी उपयोगकर्ताओं को व्यवस्थापक विशेषाधिकार देने से बचें।
संस्करण 4.4.9 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14976 WordPress के User Registration & Membership प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जिससे हमलावर साइट प्रशासक को धोखा देकर मनमाने पोस्ट को हटा सकते हैं।
यदि आप User Registration & Membership प्लगइन के संस्करण 0.0.0 से 4.4.8 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, प्लगइन को संस्करण 4.4.9 में अपडेट करें।
हालांकि अभी तक व्यापक रूप से शोषण नहीं किया गया है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए कृपया प्लगइन डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।