टिप्पणियों के लिए स्टॉपवर्ड्स <= 1.1 - क्रॉस-साइट रिक्वेस्ट फोर्जरी के लिए अपर्याप्त प्राधिकरण

यह CSRF भेद्यता हमलावरों को साइट प्रशासक की अनुमति के बिना प्लगइन के कार्यों को निष्पादित करने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण लिंक बना सकते हैं या एक ऐसी वेबसाइट बना सकते हैं जो स्वचालित रूप से एक अनुरोध भेजती है जो प्रशासक के खाते के रूप में प्रस्तुत की जाती है। यदि प्रशासक उस लिंक पर क्लिक करता है या उस वेबसाइट पर जाता है, तो हमलावर स्टॉपवर्ड्स जोड़ या हटा सकता है, जिससे वेबसाइट की कार्यक्षमता प्रभावित हो सकती है। इस भेद्यता का उपयोग स्पैम को फ़िल्टर करने की वेबसाइट की क्षमता को बाधित करने या दुर्भावनापूर्ण सामग्री को वेबसाइट पर प्रदर्शित करने के लिए किया जा सकता है।

WordPress sites utilizing the Stopwords for comments plugin, particularly those with shared hosting environments where plugin updates may be delayed, are at risk. Sites with less stringent administrator access controls are also more vulnerable to exploitation.

• wordpress / composer / npm:

grep -r 'set_stopwords_for_comments' /var/www/html/wp-content/plugins/stopwords-for-comments/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=set_stopwords_for_comments | grep -i '200 ok'

1. 2026-01-14Disclosure

   disclosure

1. आरक्षित2025-12-30
2. प्रकाशित2026-01-14
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, 'Stopwords for comments' प्लगइन को नवीनतम संस्करण में अपडेट करना सबसे प्रभावी तरीका है। यदि अपडेट तुरंत उपलब्ध नहीं है, तो प्लगइन को अस्थायी रूप से निष्क्रिय करने पर विचार करें। इसके अतिरिक्त, साइट प्रशासकों को CSRF हमलों से बचाने के लिए हमेशा सावधानी बरतनी चाहिए, जैसे कि अज्ञात स्रोतों से आने वाले लिंक पर क्लिक करने से बचना और अपने ब्राउज़र और WordPress को नवीनतम सुरक्षा पैच के साथ अपडेट रखना। WAF नियमों को भी लागू किया जा सकता है जो संदिग्ध CSRF अनुरोधों को ब्लॉक करते हैं।