CVE-2025-49344: CSRF in SensitiveTagCloud WordPress Plugin

यह CSRF भेद्यता हमलावरों को बिना किसी प्रमाणीकरण के उपयोगकर्ता की ओर से कार्रवाई करने की अनुमति देती है। चूंकि यह भेद्यता संग्रहीत XSS के साथ मिलकर काम करती है, इसलिए हमलावर दुर्भावनापूर्ण स्क्रिप्ट को सर्वर पर संग्रहीत कर सकते हैं, जो बाद में अनजाने उपयोगकर्ताओं के ब्राउज़र में निष्पादित हो सकती हैं। इससे संवेदनशील जानकारी का खुलासा हो सकता है, सत्र अपहरण हो सकता है, या हमलावर वेबसाइट की सामग्री को पूरी तरह से नियंत्रित कर सकता है। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने और उपयोगकर्ताओं को लक्षित करने के लिए किया जा सकता है।

Websites using the SensitiveTagCloud plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r 'sensitive-tag-cloud/sensitive-tag-cloud' /var/www/html/
wp plugin list | grep sensitive-tag-cloud

• generic web:

curl -I https://example.com/ | grep -i 'sensitive-tag-cloud'

1. 2025-12-31Disclosure

   disclosure

1. आरक्षित2025-06-04
2. प्रकाशित2025-12-31
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, SensitiveTagCloud प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो CSRF सुरक्षा टोकन को लागू करने पर विचार करें। यह सुनिश्चित करें कि सभी महत्वपूर्ण क्रियाओं के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकता होती है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए भी किया जा सकता है। प्लगइन के इनपुट को ठीक से सैनिटाइज करना भी महत्वपूर्ण है ताकि संग्रहीत XSS हमलों को रोका जा सके।

सक्रिय इंस्टॉलेशन

50

प्लगइन रेटिंग