CVE-2025-62880: CSRF in Custom 404 Pro WordPress Plugin

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता की ओर से कार्य करने की अनुमति देती है। एक हमलावर, एक दुर्भावनापूर्ण वेबसाइट या ईमेल के माध्यम से, उपयोगकर्ता को एक ऐसे अनुरोध को सबमिट करने के लिए बरगला सकता है जो उपयोगकर्ता को पता भी नहीं होता है। उदाहरण के लिए, एक हमलावर प्लगइन की सेटिंग्स को बदल सकता है, जिससे वेबसाइट की उपस्थिति या कार्यक्षमता बदल सकती है। यदि प्लगइन संवेदनशील डेटा को संभालता है, तो हमलावर उस डेटा तक भी पहुंच प्राप्त कर सकता है। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने या उपयोगकर्ताओं को धोखा देने के लिए भी किया जा सकता है।

WordPress websites utilizing the Custom 404 Pro plugin, particularly those running older versions (0.0.0–3.12.0), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with administrator accounts that are frequently used or have weak passwords are particularly vulnerable.

• wordpress / composer / npm:

grep -r 'Custom 404 Pro' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Custom 404 Pro'

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=custom_404_pro_save_settings&setting_name=some_setting&setting_value=some_value | grep HTTP/1.1

1. 2025-12-22Disclosure

   disclosure

1. आरक्षित2025-10-24
2. प्रकाशित2025-12-22
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-62880 को कम करने के लिए, कस्टम 404 प्रो प्लगइन को तुरंत वर्ज़न 3.12.1 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF टोकन सत्यापन लागू किया जा सकता है। इसके अतिरिक्त, प्लगइन के लिए सभी महत्वपूर्ण सेटिंग्स को बदलने के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकता होती है। वर्डप्रेस सुरक्षा प्लगइन का उपयोग करके भी इस भेद्यता का पता लगाया जा सकता है। अपडेट के बाद, प्लगइन की सेटिंग्स की समीक्षा करके और यह सुनिश्चित करके कि वे अपेक्षित हैं, सत्यापन करें।

प्लगइन रेटिंग