प्लेटफ़ॉर्म
wordpress
घटक
recent-posts-from-each-category
में ठीक किया गया
1.4.1
CVE-2025-49354 एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो Mindstien Technologies के Recent Posts From Each Category प्लगइन में पाई गई है। इस भेद्यता का उपयोग संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों को करने के लिए किया जा सकता है, जिससे हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं। यह भेद्यता Recent Posts From Each Category के संस्करण 0.0.0 से 1.4 तक के संस्करणों को प्रभावित करती है। नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी चोरी करने, सत्र कुकीज़ को हाईजैक करने या उपयोगकर्ता की ओर से अनधिकृत क्रियाएं करने की अनुमति दे सकती है। संग्रहीत XSS भेद्यता के कारण, हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं जो उपयोगकर्ता के ब्राउज़र में निष्पादित होती है। इससे हमलावर उपयोगकर्ता के डेटा को चुरा सकते हैं, वेबसाइट की उपस्थिति को बदल सकते हैं या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। इस भेद्यता का उपयोग संवेदनशील जानकारी तक पहुंचने या सिस्टम को नियंत्रित करने के लिए किया जा सकता है।
CVE-2025-49354 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन CSRF और XSS भेद्यताएं दोनों ही आम तौर पर शोषण किए जाते हैं। इस भेद्यता को सार्वजनिक रूप से 31 दिसंबर, 2025 को खुलासा किया गया था। इस भेद्यता की गंभीरता का मूल्यांकन अभी भी किया जा रहा है।
Websites using the Recent Posts From Each Category plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'recent-posts-from-each-category' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/recent-posts-from-each-category/ | grep -i 'content-security-policy'• wordpress / composer / npm:
wp plugin list --status=inactive | grep recent-posts-from-each-categorydisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-49354 को कम करने के लिए, Recent Posts From Each Category प्लगइन को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने के लिए किया जा सकता है। इसके अतिरिक्त, प्लगइन के लिए इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करना XSS हमलों के जोखिम को कम करने में मदद कर सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता खातों के लिए मजबूत पासवर्ड का उपयोग किया जा रहा है और दो-कारक प्रमाणीकरण सक्षम है। अपडेट के बाद, यह सत्यापित करें कि CSRF टोकन सही ढंग से लागू किए गए हैं और सभी इनपुट फ़ील्ड ठीक से मान्य हैं।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-49354 Mindstien Technologies के Recent Posts From Each Category प्लगइन में एक CSRF भेद्यता है, जिससे संग्रहीत XSS हो सकता है। यह संस्करण 0.0.0 से 1.4 तक के संस्करणों को प्रभावित करता है।
यदि आप Recent Posts From Each Category के संस्करण 0.0.0 से 1.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Recent Posts From Each Category प्लगइन को नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक करें।
CVE-2025-49354 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन CSRF और XSS भेद्यताएं दोनों ही आम तौर पर शोषण किए जाते हैं।
आधिकारिक सलाहकार के लिए Mindstien Technologies की वेबसाइट या WordPress प्लगइन रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।