प्लेटफ़ॉर्म
wordpress
घटक
cartasi-x-pay
में ठीक किया गया
8.3.1
8.3.2
CVE-2025-15565 is a medium-severity vulnerability affecting the Nexi XPay plugin for WordPress. This flaw allows unauthenticated attackers to manipulate WooCommerce order statuses, specifically marking pending orders as paid or completed. The vulnerability exists in versions up to and including 8.3.0, and a patch is available in version 8.3.2.
CVE-2025-15565 WordPress के लिए Nexi XPay प्लगइन में एक भेद्यता है जो अनधिकृत डेटा संशोधन की अनुमति देती है। रीडायरेक्ट फ़ंक्शन में प्राधिकरण जांच की कमी के कारण, अनाधिकृत हमलावर लंबित WooCommerce ऑर्डर को भुगतान किया गया/पूरा किया गया के रूप में चिह्नित कर सकते हैं। इससे व्यापारियों को वित्तीय नुकसान हो सकता है, क्योंकि ऑर्डर को भुगतान किए गए के रूप में संसाधित किया जाएगा, जबकि वास्तव में ऐसा नहीं है। CVSS स्कोर 5.3 है, जो मध्यम जोखिम का संकेत देता है। यह भेद्यता 8.3.0 और उससे पहले के सभी प्लगइन संस्करणों को प्रभावित करती है। इस जोखिम को कम करने के लिए प्लगइन को तुरंत अपडेट करना महत्वपूर्ण है।
एक हमलावर Nexi XPay प्लगइन के रीडायरेक्ट फ़ंक्शन को दुर्भावनापूर्ण अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। इस अनुरोध को लंबित WooCommerce ऑर्डर की स्थिति को “भुगतान किया गया” या “पूरा किया गया” के रूप में बदलने के लिए डिज़ाइन किया जाएगा, बिना किसी प्रमाणीकरण के। हमलावर cURL या कस्टम स्क्रिप्ट जैसे उपकरणों का उपयोग करके इस प्रक्रिया को स्वचालित कर सकता है। शोषण की कठिनाई अपेक्षाकृत कम है, क्योंकि इसके लिए उन्नत तकनीकी कौशल या WordPress व्यवस्थापक पैनल तक पहुंच की आवश्यकता नहीं होती है। संभावित प्रभाव महत्वपूर्ण है, जिससे हमलावर भुगतान प्रक्रिया में हेरफेर कर सकता है और परिणामस्वरूप बिना भुगतान किए उत्पादों या सेवाओं को प्राप्त कर सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान Nexi XPay प्लगइन को संस्करण 8.3.2 या उससे ऊपर के संस्करण में अपडेट करना है। इस संस्करण में रीडायरेक्ट फ़ंक्शन में लापता प्राधिकरण जांच को लागू करने के लिए आवश्यक फिक्स शामिल हैं। हम दृढ़ता से अनुशंसा करते हैं कि आप जल्द से जल्द अपडेट करें ताकि आपके WordPress वेबसाइट और डेटा की सुरक्षा की जा सके। इसके अतिरिक्त, किसी भी संदिग्ध गतिविधि की जांच के लिए अपने WooCommerce ऑडिट लॉग की जांच करें जो पहले भेद्यता के शोषण का संकेत दे सकती है। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने और ऑर्डर हेरफेर के प्रयासों को अवरुद्ध करने वाले नियमों को कॉन्फ़िगर करने पर विचार करें।
संस्करण 8.3.2 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह WordPress के लिए Nexi XPay प्लगइन में एक विशिष्ट सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।
यदि आप Nexi XPay प्लगइन के 8.3.2 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपकी वेबसाइट प्रभावित है।
अपने WooCommerce ऑडिट लॉग की जांच करें, सभी उपयोगकर्ता पासवर्ड बदलें और स्वच्छ बैकअप से पुनर्स्थापित करने पर विचार करें।
अस्थायी रूप से Nexi XPay प्लगइन को अक्षम करना एक अस्थायी समाधान हो सकता है, लेकिन इससे Nexi के साथ भुगतान करने की आपकी क्षमता प्रभावित होगी।
आप WordPress प्लगइन रिपॉजिटरी या Nexi की आधिकारिक वेबसाइट से अपडेट किए गए संस्करण (8.3.2 या उच्चतर) डाउनलोड कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।