CVE-2025-63040: CSRF in Post Snippets WordPress Plugin

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता के खाते के माध्यम से अनधिकृत क्रियाएं करने की अनुमति देती है। हमलावर पोस्ट स्निपेट्स प्लगइन के माध्यम से डेटा को संशोधित या हटा सकते हैं, या अन्य अनधिकृत कार्यों को निष्पादित कर सकते हैं। यदि हमलावर किसी ऐसे उपयोगकर्ता को लक्षित करता है जिसके पास प्लगइन में व्यवस्थापकीय विशेषाधिकार हैं, तो वे सिस्टम पर व्यापक नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का उपयोग वेबसाइट की सामग्री को बदलने, संवेदनशील जानकारी तक पहुंचने या दुर्भावनापूर्ण कोड इंजेक्ट करने के लिए किया जा सकता है।

Websites using the Post Snippets plugin, particularly those running older versions (0.0.0–4.0.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't been updated to the latest version.

• wordpress / composer / npm:

grep -r 'post-snippets/includes/class-post-snippets.php' . |
 grep -i 'wp_send_json'

• generic web:

curl -I https://example.com/wp-content/plugins/post-snippets/includes/class-post-snippets.php | grep -i 'server'

1. 2025-12-31Disclosure

   disclosure

1. आरक्षित2025-10-24
2. प्रकाशित2025-12-31
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-63040 को कम करने के लिए, पोस्ट स्निपेट्स प्लगइन को तुरंत संस्करण 4.0.12 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन का उपयोग करके प्लगइन की सभी महत्वपूर्ण क्रियाओं को सुरक्षित करें। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों से सुरक्षा प्रदान करता है। सुनिश्चित करें कि सभी उपयोगकर्ता खातों के लिए मजबूत पासवर्ड का उपयोग किया जा रहा है और दो-कारक प्रमाणीकरण सक्षम है। अपडेट के बाद, प्लगइन की कार्यक्षमता का परीक्षण करके पुष्टि करें कि भेद्यता ठीक हो गई है।

सक्रिय इंस्टॉलेशन

20Kज्ञात

प्लगइन रेटिंग