प्लेटफ़ॉर्म
wordpress
घटक
vite-coupon
में ठीक किया गया
1.0.10
CVE-2025-32642 एक गंभीर क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो Vite Coupon नामक वर्डप्रेस प्लगइन को प्रभावित करती है। यह भेद्यता हमलावरों को रिमोट कोड इंक्लूजन (RCI) का फायदा उठाने की अनुमति देती है, जिससे वे मनमाना कोड निष्पादित कर सकते हैं। यह भेद्यता Vite Coupon के संस्करण 0 से 1.0.9 तक के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, प्लगइन को संस्करण 1.0.8 में अपडेट करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को वर्डप्रेस वेबसाइट पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे वेबसाइट की पूर्ण नियंत्रण खो सकता है। हमलावर संवेदनशील डेटा चोरी कर सकते हैं, वेबसाइट को डिफेस कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। चूंकि यह एक CSRF भेद्यता है, इसलिए हमलावर उपयोगकर्ता की जानकारी के बिना इस भेद्यता का फायदा उठा सकते हैं, जिससे यह विशेष रूप से खतरनाक हो जाती है। एक सफल शोषण से वेबसाइट की अखंडता और सुरक्षा से समझौता हो सकता है, जिससे उपयोगकर्ताओं और संगठन दोनों के लिए गंभीर परिणाम हो सकते हैं।
CVE-2025-32642 को 2025-04-09 को सार्वजनिक रूप से खुलासा किया गया था। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (POC) मौजूद हैं, जो इसका फायदा उठाने को आसान बनाता है। इस भेद्यता का फायदा उठाने के लिए सक्रिय अभियान होने की संभावना है, खासकर उन वेबसाइटों पर जो अभी तक अपडेट नहीं हुई हैं। CISA ने इस भेद्यता को अपनी ज्ञात भेद्यता सूची (KEV) में शामिल किया है, जो इसकी गंभीरता को दर्शाता है।
Websites using the Vite Coupon plugin, particularly those with a large user base or handling sensitive customer data, are at significant risk. Shared WordPress hosting environments are especially vulnerable, as a compromise of one site can potentially impact others on the same server. Sites with outdated WordPress installations or weak CSRF protection are also at increased risk.
• wordpress / plugin: Use wp-cli to check the installed version of Vite Coupon: wp plugin version vite-coupon. If the version is less than 1.0.8, the system is vulnerable.
• wordpress / plugin: Search WordPress plugin files for suspicious code related to code inclusion, particularly in areas handling user input or external data.
• generic web: Monitor web server access logs for requests containing unusual parameters or file extensions associated with code execution (e.g., .php, .js, .cgi).
• generic web: Inspect response headers for unexpected content or code execution indicators.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (33% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-32642 के प्रभाव को कम करने के लिए, Vite Coupon प्लगइन को तुरंत संस्करण 1.0.8 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन को लागू करके या उपयोगकर्ता इनपुट को ठीक से मान्य करके प्लगइन को पैच करने पर विचार करें। इसके अतिरिक्त, वर्डप्रेस वेबसाइट पर एक वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात करने से CSRF हमलों को रोकने में मदद मिल सकती है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी संभावित कमजोरियों की पहचान करने और उन्हें ठीक करने में मदद कर सकते हैं।
CSRF भेद्यता को कम करने के लिए Vite Coupon प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें जो रिमोट कोड एग्जीक्यूशन की अनुमति दे सकता है। अपडेटेड संस्करण के लिए प्लगइन के आधिकारिक स्रोतों या वर्डप्रेस रिपॉजिटरी से परामर्श लें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-32642 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो Vite Coupon वर्डप्रेस प्लगइन को प्रभावित करती है, जिससे रिमोट कोड इंक्लूजन (RCI) की अनुमति मिलती है।
यदि आप Vite Coupon प्लगइन के संस्करण 0 से 1.0.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Vite Coupon प्लगइन को संस्करण 1.0.8 में अपडेट करें।
इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (POC) मौजूद हैं, और सक्रिय शोषण होने की संभावना है।
आधिकारिक सलाहकार के लिए Vite Coupon वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।