bSecure 1.3.7 - 1.7.9 - प्रमाणीकरण की कमी के कारण अनधिकृत विशेषाधिकार वृद्धि, order_info REST Endpoint के माध्यम से

यह भेद्यता हमलावरों को किसी भी उपयोगकर्ता के खाते को पूरी तरह से नियंत्रित करने की अनुमति देती है, जिससे संवेदनशील डेटा तक अनधिकृत पहुंच, वित्तीय धोखाधड़ी और अन्य दुर्भावनापूर्ण गतिविधियां हो सकती हैं। हमलावर उपयोगकर्ता की ओर से लेनदेन कर सकते हैं, डेटा बदल सकते हैं या हटा सकते हैं, और सिस्टम में अन्य कमजोरियों का फायदा उठाने के लिए खाते का उपयोग कर सकते हैं। चूंकि प्रमाणीकरण बाईपास किया जा सकता है, इसलिए यह भेद्यता विशेष रूप से गंभीर है क्योंकि हमलावर को किसी भी वैध क्रेडेंशियल की आवश्यकता नहीं होती है। यह भेद्यता WordPress वेबसाइटों के लिए एक महत्वपूर्ण सुरक्षा जोखिम पैदा करती है जो bSecure प्लगइन का उपयोग करती हैं।

1. आरक्षित2025-06-16
2. प्रकाशित2025-07-21
3. संशोधित2026-04-15
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, bSecure प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप प्लगइन के /webhook/v2/order_info/ रूट के लिए एक्सेस को प्रतिबंधित करने के लिए एक फ़ायरवॉल या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं। इसके अतिरिक्त, आप प्लगइन के कॉन्फ़िगरेशन में अतिरिक्त प्रमाणीकरण परतें जोड़ सकते हैं, जैसे कि दो-कारक प्रमाणीकरण। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, प्लगइन के फ़ंक्शन को सत्यापित करें।

प्लगइन रेटिंग