प्लेटफ़ॉर्म
wordpress
घटक
wp-e-commerce-style-email
में ठीक किया गया
0.6.3
CVE-2025-30615 एक गंभीर क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो WP e-Commerce Style Email प्लगइन को प्रभावित करती है। यह भेद्यता हमलावरों को कोड इंजेक्शन करने और संभावित रूप से दूरस्थ कोड निष्पादित करने की अनुमति देती है। यह भेद्यता WP e-Commerce Style Email के संस्करण 0.0.0 से 0.6.2 तक के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 0.6.3 में ठीक कर दिया गया है।
यह CSRF भेद्यता हमलावरों को अनधिकृत क्रियाएं करने की अनुमति देती है, जैसे कि प्लगइन सेटिंग्स को संशोधित करना या दुर्भावनापूर्ण कोड अपलोड करना। एक सफल शोषण से सर्वर पर दूरस्थ कोड निष्पादन (RCE) हो सकता है, जिससे हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य हमलों को लॉन्च करने के लिए सर्वर का उपयोग कर सकते हैं। चूंकि यह एक CSRF भेद्यता है, इसलिए हमलावर को पीड़ित उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण अनुरोध भेजने की आवश्यकता होती है, लेकिन एक बार ऐसा होने के बाद, वे अनधिकृत क्रियाएं कर सकते हैं।
CVE-2025-30615 को अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन CSRF भेद्यताओं का शोषण करना अपेक्षाकृत आसान है। सार्वजनिक रूप से उपलब्ध शोषण कोड मौजूद हो सकते हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। इस CVE को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है।
Websites utilizing the WP e-Commerce Style Email plugin, particularly those running older, unpatched versions (0.0.0 - 0.6.2), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_e_commerce_style_email" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-e-commerce-style-email• wordpress / composer / npm:
wp plugin list --status=active | grep wp-e-commerce-style-email• generic web: Check for unusual POST requests to plugin endpoints in access logs. • generic web: Monitor for unexpected file modifications in the plugin's directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, WP e-Commerce Style Email प्लगइन को तुरंत संस्करण 0.6.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन को लागू करके या उपयोगकर्ता इनपुट को मान्य करके प्लगइन को सुरक्षित करने के लिए एक अस्थायी समाधान लागू करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF हमलों को ब्लॉक किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता खाते मजबूत पासवर्ड का उपयोग करते हैं और दो-कारक प्रमाणीकरण सक्षम है। अपडेट के बाद, प्लगइन की कार्यक्षमता का परीक्षण करें ताकि यह सुनिश्चित हो सके कि यह ठीक से काम कर रहा है और कोई नई समस्या नहीं है।
CSRF भेद्यता को कम करने के लिए WP e-Commerce Style Email प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें जो रिमोट कोड एग्जीक्यूशन की अनुमति दे सकता है। अपडेटेड संस्करण के लिए wordpress.org पर प्लगइन रिपॉजिटरी देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-30615 WP e-Commerce Style Email प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो कोड इंजेक्शन की अनुमति देती है, जिससे दूरस्थ कोड निष्पादन (RCE) हो सकता है।
यदि आप WP e-Commerce Style Email प्लगइन के संस्करण 0.0.0 से 0.6.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WP e-Commerce Style Email प्लगइन को तुरंत संस्करण 0.6.3 में अपडेट करें।
CVE-2025-30615 को अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन शोषण की संभावना है।
आधिकारिक सलाहकार WP e-Commerce Style Email वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड पर उपलब्ध हो सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।