CVE-2025-14999: CSRF in Latest Tabs WordPress Plugin

यह CSRF भेद्यता हमलावरों को साइट प्रशासक के ब्राउज़र में दुर्भावनापूर्ण अनुरोध भेजने की अनुमति देती है, जिससे वे प्लगइन की सेटिंग्स को अनधिकृत रूप से बदल सकते हैं। इससे साइट की कार्यक्षमता में बदलाव हो सकता है, डेटा का समझौता हो सकता है, या अन्य सुरक्षा जोखिम उत्पन्न हो सकते हैं। हमलावर एक दुर्भावनापूर्ण लिंक या स्क्रिप्ट का उपयोग करके प्रशासक को कार्रवाई करने के लिए प्रेरित कर सकते हैं, जिससे वे अनजाने में भेद्यता का फायदा उठा सकते हैं। इस भेद्यता का उपयोग साइट के डेटा को चुराने या साइट पर अनधिकृत परिवर्तन करने के लिए किया जा सकता है।

WordPress sites utilizing the Latest Tabs plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected if one site is compromised and used to launch attacks against others.

• wordpress / composer / npm:

grep -r 'admin-page.php' /var/www/html/wp-content/plugins/latest-tabs/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'latest-tabs'

• wordpress / composer / npm:

wp plugin update latest-tabs --all

1. 2026-01-07Disclosure

   disclosure

1. आरक्षित2025-12-20
2. प्रकाशित2026-01-07
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Latest Tabs प्लगइन को संस्करण 1.6 में अपडेट करना सबसे प्रभावी तरीका है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF टोकन सत्यापन को लागू किया जा सकता है। इसके अतिरिक्त, साइट प्रशासकों को संदिग्ध लिंक पर क्लिक करने से बचना चाहिए और नियमित रूप से प्लगइन सेटिंग्स की समीक्षा करनी चाहिए। प्लगइन के पुराने संस्करणों के लिए, nonce सत्यापन को मजबूत करने के लिए admin-page.php में कोड संशोधन की आवश्यकता हो सकती है, लेकिन यह एक जटिल प्रक्रिया है और अनुभवी डेवलपर द्वारा ही की जानी चाहिए।