प्लेटफ़ॉर्म
wordpress
घटक
userpro
में ठीक किया गया
5.1.12
A Cross-Site Request Forgery (CSRF) vulnerability exists in DeluxeThemes Userpro, a WordPress plugin. This flaw allows an attacker to trick authenticated users into unknowingly executing unwanted actions, such as modifying their profile information or performing administrative tasks. The vulnerability impacts versions from 0.0.0 through 5.1.11. Applying the provided patch resolves the issue.
DeluxeThemes Userpro (5.1.11 से पहले के संस्करण) में CSRF (क्रॉस-साइट रिक्वेस्ट फोर्जरी) भेद्यता एक हमलावर को प्रमाणित उपयोगकर्ता की जानकारी के बिना उसके नाम पर कार्रवाई करने की अनुमति देती है। इसमें उपयोगकर्ता प्रोफाइल को संशोधित करना, सेटिंग्स बदलना या यहां तक कि नए खाते बनाना शामिल हो सकता है, जो प्रभावित उपयोगकर्ता की अनुमतियों पर निर्भर करता है। जोखिम महत्वपूर्ण है, खासकर यदि उपयोगकर्ताओं के पास प्रशासनिक विशेषाधिकार हैं, क्योंकि एक हमलावर पूरी वेबसाइट की सुरक्षा से समझौता कर सकता है। इस भेद्यता का सफलतापूर्वक शोषण करने के लिए, उपयोगकर्ता को Userpro में लॉग इन करना होगा और एक दुर्भावनापूर्ण वेबसाइट पर जाना होगा या एक तैयार लिंक पर क्लिक करना होगा। उचित CSRF सुरक्षा की कमी इस प्रकार के हमले को आसान बनाती है।
एक हमलावर एक दुर्भावनापूर्ण वेब पेज बना सकता है जिसमें एक फॉर्म शामिल है जिसे Userpro को अनुरोध भेजने के लिए डिज़ाइन किया गया है। यदि Userpro में लॉग इन किया हुआ एक प्रमाणित उपयोगकर्ता इस पेज पर जाता है, तो फॉर्म स्वचालित रूप से सबमिट हो जाएगा, और उपयोगकर्ता को जानकारी के बिना फॉर्म में निर्दिष्ट कार्रवाई निष्पादित की जाएगी। उदाहरण के लिए, हमलावर एक फॉर्म बना सकता है जो उपयोगकर्ता के ईमेल पते को बदलता है या उसे उन्नत विशेषाधिकारों के साथ एक नया रोल असाइन करता है। इस हमले की प्रभावशीलता हमलावर की उपयोगकर्ता को दुर्भावनापूर्ण पृष्ठ पर जाने के लिए धोखा देने की क्षमता पर निर्भर करती है। यदि उपयोगकर्ता Userpro डोमेन के लिए कुकीज़ के साथ ब्राउज़र का उपयोग कर रहा है, तो हमले के सफल होने की अधिक संभावना है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान Userpro को संस्करण 5.1.11 या उच्चतर में अपडेट करना है, जिसमें इस भेद्यता के लिए पैच शामिल है। इसके अतिरिक्त, सभी संवेदनशील अनुरोधों के लिए CSRF टोकन सत्यापन जैसे अतिरिक्त सुरक्षा उपायों को लागू करने की सिफारिश की जाती है। इसमें प्रत्येक फॉर्म के लिए एक अद्वितीय टोकन उत्पन्न करना और सत्यापित करना शामिल है कि अनुरोध के साथ सबमिट किया गया टोकन उपयोगकर्ता सत्र में संग्रहीत टोकन से मेल खाता है। उपयोगकर्ताओं को संदिग्ध लिंक पर क्लिक करने या अविश्वसनीय वेबसाइटों पर जाने के जोखिमों के बारे में शिक्षित करना भी महत्वपूर्ण है। अंत में, ब्राउज़र द्वारा लोड किए जा सकने वाले सामग्री स्रोतों को प्रतिबंधित करने के लिए सामग्री सुरक्षा नीति (CSP) लागू करने पर विचार करें, जो CSRF हमलों को कम करने में मदद कर सकता है।
Update to version 5.1.11, or a newer patched version
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CSRF एक प्रकार का हमला है जिसमें एक हमलावर एक प्रमाणित उपयोगकर्ता को वेब एप्लिकेशन में अवांछित कार्रवाई करने के लिए बरगलाता है।
यदि आप Userpro के 5.1.11 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपकी वेबसाइट संभवतः कमजोर है। संभावित कमजोरियों की पहचान करने के लिए सुरक्षा ऑडिट करें।
तुरंत सभी व्यवस्थापकों के पासवर्ड बदलें और समझौते की सीमा निर्धारित करने के लिए गहन जांच करें।
हालांकि अपग्रेड महत्वपूर्ण है, CSRF टोकन सत्यापन जैसे अतिरिक्त सुरक्षा उपायों को लागू करने की भी सिफारिश की जाती है।
आप OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) वेबसाइट पर CSRF के बारे में अधिक जानकारी पा सकते हैं: https://owasp.org/www-project-top-ten/
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।