CVE-2025-53344: CSRF in ThimPress Thim Core

क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता का मतलब है कि एक हमलावर किसी उपयोगकर्ता को अनजाने में एक दुर्भावनापूर्ण क्रिया करने के लिए मजबूर कर सकता है। Thim Core के संदर्भ में, एक हमलावर किसी उपयोगकर्ता के खाते को संशोधित करने, संवेदनशील डेटा तक पहुंचने या अन्य अनधिकृत क्रियाएं करने के लिए CSRF का उपयोग कर सकता है। चूंकि यह भेद्यता Thim Core को प्रभावित करती है, जो वर्डप्रेस प्लगइन है, इसलिए यह उन वेबसाइटों और अनुप्रयोगों को प्रभावित कर सकती है जो इस प्लगइन का उपयोग करते हैं। हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करके या एक दुर्भावनापूर्ण वेबसाइट बनाकर CSRF का फायदा उठा सकते हैं।

Websites using Thim Core plugin versions prior to 2.4.0 are at risk. Specifically, sites with user roles that have administrative privileges are particularly vulnerable, as an attacker could leverage CSRF to escalate their privileges.

• wordpress / composer / npm:

grep -r 'thim_core_settings' /var/www/html/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=thim_core_settings&nonce=malicious_nonce | grep -i '200 ok'

1. 2026-01-05Disclosure

   disclosure

1. आरक्षित2025-06-27
2. प्रकाशित2026-01-05
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-53344 को कम करने के लिए, Thim Core को संस्करण 2.4.0 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन का उपयोग करके इनपुट को मान्य करके और उपयोगकर्ता की क्रियाओं के लिए अतिरिक्त प्रमाणीकरण की आवश्यकता जोड़कर भेद्यता को कम किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने के लिए भी किया जा सकता है। इसके अतिरिक्त, सुनिश्चित करें कि सभी उपयोगकर्ता अपने वर्डप्रेस इंस्टॉलेशन और प्लगइन्स को नवीनतम संस्करण में अपडेट रखें।