WordPress Ultimate Video Player प्लगइन <= 10.1 - सर्वर साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता

SSRF भेद्यता का शोषण करने वाला एक हमलावर आंतरिक नेटवर्क संसाधनों तक पहुंच सकता है जो सार्वजनिक रूप से उजागर नहीं होने चाहिए। यह हमलावर संवेदनशील डेटा तक पहुंचने, आंतरिक सेवाओं को स्कैन करने या यहां तक कि आंतरिक प्रणालियों पर कमांड निष्पादित करने में सक्षम हो सकता है। इस भेद्यता का उपयोग आंतरिक वेब सर्वरों, डेटाबेस और अन्य महत्वपूर्ण प्रणालियों तक पहुंचने के लिए किया जा सकता है। यदि हमलावर आंतरिक सेवाओं को सफलतापूर्वक एक्सेस कर लेता है, तो वे डेटा चोरी कर सकते हैं, सिस्टम को दूषित कर सकते हैं या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं।

WordPress websites utilizing the Ultimate Video Player plugin, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable, as are sites running older, unpatched versions of the plugin.

• wordpress / composer / npm:

grep -r 'http://' /var/www/html/wp-content/plugins/ultimate-video-player/*

• generic web:

curl -I <wordpress_site>/wp-content/plugins/ultimate-video-player/  # Check for unusual headers

1. 2025-09-09Disclosure

   disclosure

1. आरक्षित2025-06-04
2. प्रकाशित2025-09-09
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Ultimate Video Player को संस्करण 10.1.1 में तुरंत अपडेट करने की अनुशंसा की जाती है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को ब्लॉक करने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, आंतरिक संसाधनों तक पहुंच को सीमित करने के लिए नेटवर्क सुरक्षा नीतियों को लागू किया जाना चाहिए। सुनिश्चित करें कि Ultimate Video Player के लिए सभी बाहरी अनुरोधों को मान्य और सैनिटाइज किया गया है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक संसाधनों तक अनधिकृत पहुंच के लिए सिस्टम की निगरानी करें।