Woffice <= 5.4.21 - पंजीकरण भूमिका के माध्यम से प्रमाणीकरण बाईपास

यह भेद्यता हमलावरों को बिना किसी प्रमाणीकरण के व्यवस्थापक (Administrator) के रूप में पंजीकरण करने की अनुमति देती है, जिससे वे सिस्टम के सभी पहलुओं को नियंत्रित कर सकते हैं। वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम कॉन्फ़िगरेशन बदल सकते हैं, और यहां तक ​​कि दुर्भावनापूर्ण कोड भी निष्पादित कर सकते हैं। CVE-2025-2797 के साथ संयोजन में, यह भेद्यता उपयोगकर्ता अनुमोदन प्रक्रिया को भी बाईपास कर सकती है यदि एक व्यवस्थापक को किसी लिंक पर क्लिक करने के लिए बरगलाया जा सके। इस भेद्यता का प्रभाव बहुत गंभीर है, क्योंकि यह हमलावरों को सिस्टम पर पूर्ण नियंत्रण प्रदान करता है।

Organizations using Woffice CRM, particularly those with custom login forms or relying on the standard user registration process, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server are also vulnerable, as a compromise of one site could potentially impact others. Sites using older, unpatched versions of WordPress are also at increased risk due to potential compatibility issues.

• wordpress / composer / npm:

wp plugin list | grep woffice

• wordpress / composer / npm:

wp plugin update woffice

• wordpress / composer / npm:

grep -r 'excluded_roles' /var/www/html/wp-content/plugins/wooffice-crm/*

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wooffice_register_user

1. 2025-04-04Disclosure

   disclosure

2. 2025-04-04Patch

   patch

1. आरक्षित2025-03-25
2. प्रकाशित2025-04-04
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

Woffice CRM को तुरंत संस्करण 5.4.22 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो कस्टम लॉगिन फॉर्म का उपयोग बंद कर दें या भूमिका-आधारित एक्सेस नियंत्रण को कड़ाई से लागू करें। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके अनधिकृत पंजीकरण प्रयासों को ब्लॉक करें। WordPress सुरक्षा प्लगइन्स का उपयोग करके सिस्टम को मजबूत करें। नियमित रूप से लॉग की निगरानी करें और किसी भी संदिग्ध गतिविधि की जांच करें।