CVE-2025-62148: CSRF in Robots.txt rewrite

यह CSRF भेद्यता हमलावर को उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता की ओर से Robots.txt फ़ाइल को संशोधित करने की अनुमति देती है। इससे वेबसाइट की खोज इंजन दृश्यता पर अनपेक्षित प्रभाव पड़ सकता है, जिससे सामग्री अनुक्रमणिका से हट सकती है या गलत तरीके से अनुक्रमित हो सकती है। एक हमलावर संवेदनशील डेटा तक पहुँचने या वेबसाइट की कार्यक्षमता को बाधित करने के लिए इस भेद्यता का उपयोग कर सकता है, खासकर यदि Robots.txt फ़ाइल में सुरक्षा-संबंधित निर्देश शामिल हैं।

Websites using the Robots.txt rewrite plugin, particularly those relying on search engine optimization (SEO) and those with sensitive data that could be exposed through misconfigured robots.txt directives, are at risk. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites hosted on the same server.

• wordpress / composer / npm:

grep -r 'robots.txt' /var/www/html/wp-content/plugins/robots-txt-rewrite/
wp plugin list | grep robots-txt-rewrite

• generic web:

curl -I https://example.com/robots.txt | grep -i 'allow:'

1. 2025-12-31Disclosure

   disclosure

1. आरक्षित2025-10-07
2. प्रकाशित2025-12-31
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

सबसे प्रभावी समाधान Robots.txt rewrite को संस्करण 1.6.2 या उच्चतर में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो CSRF टोकन को लागू करने या Robots.txt फ़ाइल में किए गए परिवर्तनों को सत्यापित करने के लिए एक वर्कअराउंड के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है। इसके अतिरिक्त, Robots.txt फ़ाइल में संवेदनशील जानकारी संग्रहीत करने से बचें और सुनिश्चित करें कि फ़ाइल तक पहुँच को केवल अधिकृत उपयोगकर्ताओं तक ही सीमित किया गया है।

सक्रिय इंस्टॉलेशन

1Kआला

प्लगइन रेटिंग