WordPress Ultra Demo Importer प्लगइन <= 1.0.5 - CSRF से RCE भेद्यता

यह भेद्यता हमलावरों को CSRF का फायदा उठाकर Ultra Demo Importer के माध्यम से वेब सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है। एक सफल शोषण के परिणामस्वरूप सर्वर का पूर्ण नियंत्रण, डेटा चोरी, या सिस्टम में अन्य दुर्भावनापूर्ण गतिविधियों का प्रदर्शन हो सकता है। चूंकि भेद्यता CSRF पर निर्भर करती है, इसलिए हमलावर को उपयोगकर्ता को दुर्भावनापूर्ण अनुरोध करने के लिए बरगलाने की आवश्यकता होगी, लेकिन एक बार ऐसा हो जाने पर, वे सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में खतरनाक है, जहां कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, जिससे एक वेबसाइट पर भेद्यता अन्य वेबसाइटों को भी खतरे में डाल सकती है।

WordPress websites utilizing the Ultra Demo Importer plugin, particularly those running vulnerable versions (0.0.0–1.0.5), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Websites with less stringent file upload policies are also more susceptible to exploitation.

• wordpress / composer / npm:

wp plugin list | grep Ultra Demo Importer

• wordpress / composer / npm:

wp plugin update --all

• generic web: Check WordPress plugin directory for version 1.0.6 or higher. • wordpress / composer / npm:

wp plugin status ut-demo-importer

1. 2025-04-09Disclosure

   disclosure

1. आरक्षित2025-04-09
2. प्रकाशित2025-04-09
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Ultra Demo Importer को संस्करण 1.0.6 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF सुरक्षा को मजबूत करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करें जो CSRF टोकन सत्यापन को लागू करते हैं। इसके अतिरिक्त, सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है। सर्वर-साइड फ़ाइल अपलोड को सीमित करने के लिए सख्त एक्सेस नियंत्रण लागू करें। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं।