WordPress OneStore Sites प्लगइन <= 0.1.1 - CSRF से मनमाना प्लगइन इंस्टॉलेशन भेद्यता

यह CSRF भेद्यता हमलावरों को वैध उपयोगकर्ताओं के रूप में प्रतिरूपण करने और उनकी ओर से कार्य करने की अनुमति देती है। हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं जो स्वचालित रूप से अनुरोध भेजती हैं, जिससे अनधिकृत परिवर्तन हो सकते हैं। उदाहरण के लिए, एक हमलावर उपयोगकर्ता की प्रोफ़ाइल जानकारी बदल सकता है, ऑर्डर रद्द कर सकता है, या अन्य संवेदनशील कार्य कर सकता है। इस भेद्यता का उपयोग डेटा चोरी, वित्तीय धोखाधड़ी और सिस्टम नियंत्रण के लिए किया जा सकता है। चूंकि यह वर्डप्रेस प्लगइन है, इसलिए साझा होस्टिंग वातावरण में कई वेबसाइटें जोखिम में हो सकती हैं।

WordPress sites using the sainwp OneStore Sites plugin, particularly those with user roles that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'sainwp OneStore Sites' /var/www/html/
wp plugin list

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/onestore-sites/ | grep -i 'onestore-sites'

1. 2025-02-07Disclosure

   disclosure

1. आरक्षित2025-02-03
2. प्रकाशित2025-02-07
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-04-02

CVE-2025-25107 को कम करने के लिए, तुरंत OneStore Sites को संस्करण 0.1.2 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन लागू करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें। इसके अतिरिक्त, सभी संवेदनशील कार्यों के लिए उपयोगकर्ता प्रमाणीकरण को मजबूत करें। सुनिश्चित करें कि सभी इनपुट डेटा को ठीक से मान्य किया गया है और आउटपुट को एन्कोड किया गया है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के कार्यों का परीक्षण करें।