CVE-2025-62112: CSRF in Import into Easy Property Listings

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता के खाते के माध्यम से अनधिकृत क्रियाएँ करने की अनुमति देती है। हमलावर उपयोगकर्ता की ओर से डेटा बदल सकते हैं, नए लिस्टिंग बना सकते हैं, या अन्य संवेदनशील कार्य कर सकते हैं। यदि हमलावर किसी ऐसे उपयोगकर्ता को लक्षित करता है जिसके पास व्यवस्थापकीय अधिकार हैं, तो वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में खतरनाक है, जहाँ कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं और एक-दूसरे के साथ हस्तक्षेप कर सकती हैं।

WordPress websites utilizing the Import into Easy Property Listings plugin, particularly those with user accounts that have administrative privileges or the ability to manage property listings, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is vulnerable and an attacker can leverage cross-site scripting to target users on other sites.

• wordpress / composer / npm:

grep -r 'easy-property-listings-xml-csv-import' /var/www/html/
wp plugin list | grep 'easy-property-listings-xml-csv-import'

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=easy_property_listings_import_process

1. 2025-12-30Disclosure

   disclosure

1. आरक्षित2025-10-07
2. प्रकाशित2025-12-30
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-62112 को कम करने के लिए, सबसे पहले Import into Easy Property Listings प्लगइन को संस्करण 2.2.2 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो CSRF टोकन लागू करने के लिए प्लगइन के कोड को संशोधित करने पर विचार करें। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों को ब्लॉक कर सके। सभी उपयोगकर्ता इनपुट को मान्य करें और सैनिटाइज़ करें, और सुनिश्चित करें कि सभी संवेदनशील क्रियाओं के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकता होती है। अपडेट करने के बाद, प्लगइन के सभी कार्यों का परीक्षण करके पुष्टि करें कि भेद्यता ठीक हो गई है।

सक्रिय इंस्टॉलेशन

1Kआला

प्लगइन रेटिंग