प्लेटफ़ॉर्म
wordpress
घटक
pdf-creator-lite
में ठीक किया गया
1.2.1
CVE-2025-49341 PDF Creator Lite में एक गंभीर क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जो संग्रहीत XSS की अनुमति देती है। यह भेद्यता हमलावरों को अनधिकृत क्रियाएं करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का समझौता हो सकता है। यह भेद्यता PDF Creator Lite के 0.0.0 से 1.2 तक के संस्करणों को प्रभावित करती है। 2025-12-09 को प्रकाशित, इस भेद्यता को कम करने के लिए तत्काल कार्रवाई की आवश्यकता है।
यह CSRF भेद्यता हमलावरों को PDF Creator Lite के माध्यम से अनधिकृत क्रियाएं करने की अनुमति देती है, क्योंकि वे उपयोगकर्ता की ओर से अनुरोधों को मजबूर कर सकते हैं। संग्रहीत XSS क्षमता का मतलब है कि दुर्भावनापूर्ण स्क्रिप्ट को PDF फ़ाइलों में इंजेक्ट किया जा सकता है, जो बाद में उपयोगकर्ताओं द्वारा खोले जाने पर निष्पादित हो सकती हैं। इससे उपयोगकर्ता सत्र अपहरण, संवेदनशील डेटा चोरी और वेबसाइट को समझौता करने जैसे गंभीर परिणाम हो सकते हैं। हमलावर लक्षित उपयोगकर्ताओं को दुर्भावनापूर्ण लिंक भेजने या दुर्भावनापूर्ण PDF फ़ाइलें वितरित करने के लिए CSRF का उपयोग कर सकते हैं।
CVE-2025-49341 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है। हालाँकि, CSRF भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इसका फायदा उठाना आसान हो जाता है। CISA KEV सूची में शामिल होने की स्थिति अभी भी लंबित है।
WordPress websites utilizing the PDF Creator Lite plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the necessary updates. Sites with user-generated content processed by the plugin are especially susceptible.
• wordpress / composer / npm:
grep -r "PDF Creator Lite" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "PDF Creator Lite"• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-creator-lite/ | grep -i 'X-Frame-Options'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-49341 के लिए तत्काल शमन में PDF Creator Lite को 1.2 से ऊपर के नवीनतम संस्करण में अपडेट करना शामिल है। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन को लागू करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करके एप्लिकेशन कोड को मजबूत करें। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोका जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लिकेशन की कार्यक्षमता का परीक्षण करें।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-49341 PDF Creator Lite में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो संग्रहीत XSS की अनुमति देती है, जिससे हमलावरों को अनधिकृत क्रियाएं करने की अनुमति मिलती है।
यदि आप PDF Creator Lite के 0.0.0 से 1.2 तक के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-49341 को ठीक करने के लिए, PDF Creator Lite को 1.2 से ऊपर के नवीनतम संस्करण में तुरंत अपडेट करें।
CVE-2025-49341 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन CSRF भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए PDF Creator Lite के डेवलपर की वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।