WordPress iSpring Embedder प्लगइन <= 1.0 - CSRF से मनमाना फ़ाइल अपलोड भेद्यता

यह CSRF भेद्यता हमलावरों को iSpring Embedder के माध्यम से वेब सर्वर पर वेब शेल अपलोड करने की अनुमति देती है। एक बार वेब शेल स्थापित हो जाने के बाद, हमलावर सर्वर पर मनमाना कोड निष्पादित कर सकते हैं, संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, और सिस्टम को पूरी तरह से नियंत्रित कर सकते हैं। यह भेद्यता डेटा उल्लंघनों, सेवा से इनकार (DoS) हमलों और अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकती है। वेब शेल अपलोड करने की क्षमता के कारण, इस भेद्यता का प्रभाव बहुत अधिक है और इसे तुरंत संबोधित किया जाना चाहिए।

WordPress websites utilizing the iSpring Embedder plugin are at direct risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit the vulnerability on multiple websites hosted on the same server. Sites using older, unpatched versions of WordPress or those with weak security configurations are also at increased risk.

• wordpress / composer / npm:

grep -r 'ispring_embedder' /var/www/html/
wp plugin list | grep iSpring Embedder

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/ispring-embedder/ | grep -i 'server'

1. 2025-01-16Disclosure

   disclosure

1. आरक्षित2025-01-16
2. प्रकाशित2025-01-16
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-04-02

CVE-2025-23922 को कम करने के लिए, iSpring Embedder को तुरंत संस्करण 1.0.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो वेब सर्वर पर iSpring Embedder इंस्टेंस तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों और एक्सेस नियंत्रणों को लागू करें। CSRF हमलों को रोकने के लिए, सभी महत्वपूर्ण कार्यों के लिए CSRF टोकन का उपयोग करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों का पता लगाने और उन्हें ब्लॉक करने के लिए किया जा सकता है।