प्लेटफ़ॉर्म
wordpress
घटक
simple-stripe
में ठीक किया गया
0.9.18
CVE-2025-48085 ZIPANG Simple Stripe में एक गंभीर क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जिसके परिणामस्वरूप संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) हो सकती है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या वेबसाइट की कार्यक्षमता में हेरफेर किया जा सकता है। यह भेद्यता Simple Stripe के संस्करण 0.0.0 से 0.9.17 तक के संस्करणों को प्रभावित करती है। इस समस्या को 0.9.18 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। हमलावर CSRF का उपयोग करके उपयोगकर्ता की जानकारी चुरा सकते हैं, जैसे कि लॉगिन क्रेडेंशियल या संवेदनशील डेटा। वे उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट भी कर सकते हैं या वेबसाइट की सामग्री को बदल सकते हैं। संग्रहीत XSS के कारण, हमलावर स्क्रिप्ट को डेटाबेस में संग्रहीत कर सकते हैं, जिससे यह उन उपयोगकर्ताओं को प्रभावित करेगा जो बाद में पृष्ठ को एक्सेस करते हैं। यह भेद्यता वेबसाइट की प्रतिष्ठा को नुकसान पहुंचा सकती है और उपयोगकर्ताओं के डेटा की गोपनीयता से समझौता कर सकती है।
CVE-2025-48085 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं का व्यापक रूप से शोषण किया जाता है। इस भेद्यता की गंभीरता CVSS स्कोर 7.1 (HIGH) द्वारा इंगित की गई है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं मिली है, लेकिन इस भेद्यता का शोषण करने के लिए हमलावर CSRF तकनीकों और XSS शोषण का उपयोग कर सकते हैं। यह भेद्यता 2025-11-06 को प्रकाशित की गई थी।
Websites using the ZIPANG Simple Stripe plugin, particularly those handling sensitive user data or financial transactions, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/simple-stripe/*• wordpress / composer / npm:
wp plugin list --status=inactive | grep simple-stripe• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updates and security advisories related to Simple Stripe.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी समाधान Simple Stripe को संस्करण 0.9.18 या बाद के संस्करण में अपडेट करना है, जिसमें यह भेद्यता ठीक कर दी गई है। यदि तत्काल अपडेट संभव नहीं है, तो CSRF टोकन का उपयोग करके इनपुट को मान्य करने के लिए एक अस्थायी समाधान लागू किया जा सकता है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से सैनिटाइज किया गया है और आउटपुट को एस्केप किया गया है ताकि XSS हमलों को रोका जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए वेबसाइट का परीक्षण करें कि भेद्यता ठीक हो गई है और कोई नई समस्या नहीं आई है।
CSRF भेद्यता को कम करने के लिए Simple Stripe प्लगइन को नवीनतम उपलब्ध संस्करण में अपडेट करें जो XSS कोड निष्पादन का कारण बन सकता है। नवीनतम संस्करण और अपडेट निर्देशों के लिए WordPress.org पर प्लगइन पेज देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-48085 ZIPANG Simple Stripe में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जिससे संग्रहीत XSS हो सकता है, जिससे हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं।
यदि आप Simple Stripe के संस्करण 0.0.0 से 0.9.17 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Simple Stripe को संस्करण 0.9.18 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो CSRF टोकन का उपयोग करके इनपुट को मान्य करें।
CVE-2025-48085 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं का व्यापक रूप से शोषण किया जाता है।
आधिकारिक एडवाइजरी के लिए ZIPANG की वेबसाइट या उनके सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।