वर्डप्रेस WP-CalDav2ICS प्लगइन <= 1.3.4 - क्रॉस साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी चुराने, दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने, या उपयोगकर्ता की सहमति के बिना उनके खाते को नियंत्रित करने की अनुमति देती है। संग्रहीत XSS के कारण, हमलावर दुर्भावनापूर्ण स्क्रिप्ट को डेटाबेस में संग्रहीत कर सकते हैं, जो तब अन्य उपयोगकर्ताओं को प्रभावित कर सकती है जो प्लगइन का उपयोग करते हैं। यह वेबसाइट की प्रतिष्ठा को नुकसान पहुंचा सकता है, संवेदनशील डेटा को उजागर कर सकता है, और उपयोगकर्ताओं को वित्तीय नुकसान पहुंचा सकता है। इस भेद्यता का फायदा उठाकर, हमलावर वर्डप्रेस साइट पर व्यवस्थापक अधिकारों को प्राप्त करने और पूरी साइट को नियंत्रित करने में सक्षम हो सकते हैं।

Websites using the WP-CalDav2ICS plugin, particularly those running older, unpatched versions (0.0.0–1.3.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "wp-caldav2ics" /var/www/html/
wp plugin list | grep WP-CalDav2ICS

• generic web:

curl -I https://example.com/wp-content/plugins/wp-caldav2ics/ | grep -i 'wp-caldav2ics'

1. 2025-12-30Disclosure

   disclosure

1. आरक्षित2025-09-09
2. प्रकाशित2025-12-30
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-59131 को कम करने के लिए, सबसे पहले WP-CalDav2ICS प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन का उपयोग करके प्लगइन में CSRF सुरक्षा लागू करें। यह सुनिश्चित करें कि सभी संवेदनशील कार्यों के लिए उपयोगकर्ता की स्पष्ट सहमति की आवश्यकता होती है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF हमलों को ब्लॉक किया जा सकता है। वर्डप्रेस सुरक्षा प्लगइन का उपयोग करके भी इस भेद्यता से सुरक्षा प्राप्त की जा सकती है। अपडेट के बाद, प्लगइन की कार्यक्षमता का परीक्षण करके सुनिश्चित करें कि यह ठीक से काम कर रहा है।

सक्रिय इंस्टॉलेशन

200

प्लगइन रेटिंग