प्लेटफ़ॉर्म
wordpress
घटक
ninja-tables
में ठीक किया गया
5.0.19
Ninja Tables – Easy Data Table Builder प्लगइन में एक गंभीर भेद्यता पाई गई है, जो सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) के रूप में जानी जाती है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक पहुंचने और संभावित रूप से संवेदनशील जानकारी प्राप्त करने की अनुमति देती है। यह भेद्यता Ninja Tables के संस्करण 0.0.0 से लेकर 5.0.18 तक के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 5.0.19 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
SSRF भेद्यता के माध्यम से, एक हमलावर Ninja Tables प्लगइन का उपयोग करके आंतरिक नेटवर्क पर मनमाना अनुरोध भेज सकता है। इसका उपयोग आंतरिक सेवाओं की खोज करने, संवेदनशील डेटा तक पहुंचने या यहां तक कि आंतरिक प्रणालियों को नियंत्रित करने के लिए किया जा सकता है। चूंकि यह भेद्यता प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, इसलिए इसका प्रभाव काफी व्यापक हो सकता है। एक सफल हमलावर आंतरिक डेटाबेस, कॉन्फ़िगरेशन फ़ाइलों या अन्य संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, जिससे डेटा उल्लंघन या सिस्टम समझौता हो सकता है। यह भेद्यता अन्य आंतरिक सेवाओं पर भी हमला करने के लिए एक लॉन्चिंग पैड के रूप में काम कर सकती है, जिससे संभावित रूप से पूरे नेटवर्क में समझौता हो सकता है।
CVE-2025-2940 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी उच्च CVSS स्कोर (7.2) इंगित करती है कि इसका शोषण उच्च संभावना के साथ किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि हमलावर जल्दी ही शोषण विकसित कर सकते हैं। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2025-06-27 को प्रकाशित हुई थी।
WordPress websites utilizing the Ninja Tables plugin, particularly those hosting sensitive internal services or data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised Ninja Tables instance could potentially be used to attack other sites on the same server.
• wordpress / plugin:
grep -r 'args[url]' /var/www/html/wp-content/plugins/ninja-tables/*• wordpress / plugin:
wp plugin list --status=all | grep 'ninja-tables'• wordpress / plugin:
wp plugin update ninja-tables --version=5.0.19• generic web:
curl -I 'http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ninja_tables_load_table&args[url]=http://internal-service.local'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (47% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-2940 को कम करने के लिए, Ninja Tables प्लगइन को तुरंत संस्करण 5.0.19 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप अपने वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर करके या प्रॉक्सी नियमों को लागू करके Ninja Tables प्लगइन के माध्यम से किए गए बाहरी अनुरोधों को सीमित कर सकते हैं। इसके अतिरिक्त, आप Ninja Tables प्लगइन के कॉन्फ़िगरेशन में URL सत्यापन और इनपुट सैनिटाइजेशन को लागू कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि केवल विश्वसनीय URL को संसाधित किया जा रहा है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के माध्यम से बाहरी URL को एक्सेस करने का प्रयास करके सत्यापित करें।
सर्वर-साइड अनुरोध जालसाजी (Server-Side Request Forgery) भेद्यता को कम करने के लिए Ninja Tables प्लगइन को संस्करण 5.0.19 या उच्चतर में अपडेट करें। यह अपडेट प्लगइन द्वारा वेब अनुरोधों को संभालने के तरीके को ठीक करता है, जिससे गैर-प्रमाणीकृत हमलावरों को मनमाने स्थानों पर अनुरोध करने से रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-2940 Ninja Tables प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप Ninja Tables प्लगइन के संस्करण 0.0.0 से 5.0.18 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Ninja Tables प्लगइन को संस्करण 5.0.19 या बाद के संस्करण में अपडेट करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, लेकिन उच्च CVSS स्कोर के कारण इसका शोषण उच्च संभावना के साथ किया जा सकता है।
कृपया Ninja Tables वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक एडवाइजरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।