प्लेटफ़ॉर्म
wordpress
घटक
evergreen-post-tweeter
में ठीक किया गया
1.8.10
Evergreen Post Tweeter में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है, जिसके कारण संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) का खतरा है। यह भेद्यता Evergreen Post Tweeter के संस्करण 0 से 1.8.9 तक के उपयोगकर्ताओं को प्रभावित करती है। हमलावर इस भेद्यता का उपयोग दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने और उपयोगकर्ता सत्रों को हाईजैक करने के लिए कर सकते हैं। 2025-12-24 को यह भेद्यता प्रकाशित की गई थी और इसे ठीक करने के लिए अपडेट जारी किया जाना है।
यह भेद्यता हमलावरों को Evergreen Post Tweeter वेबसाइट पर संग्रहीत XSS हमले करने की अनुमति देती है। इसका मतलब है कि वे दुर्भावनापूर्ण स्क्रिप्ट को वेबसाइट में इंजेक्ट कर सकते हैं, जो तब अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित होगी। हमलावर इस स्क्रिप्ट का उपयोग उपयोगकर्ता के कुकीज़ को चुराने, संवेदनशील जानकारी तक पहुंचने या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइट पर रीडायरेक्ट करने के लिए कर सकते हैं। CSRF के कारण, हमलावर उपयोगकर्ता की जानकारी प्राप्त करने के लिए उपयोगकर्ता की अनुमति के बिना कार्रवाई कर सकते हैं। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने, डेटा चोरी करने या उपयोगकर्ताओं को वित्तीय नुकसान पहुंचाने के लिए किया जा सकता है।
CVE-2025-67622 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन XSS भेद्यता के कारण यह शोषण के लिए खुला है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, POC जल्द ही उपलब्ध हो सकते हैं। CISA ने इस CVE को अभी तक KEV में शामिल नहीं किया है। NVD में प्रकाशन तिथि 2025-12-24 है।
Websites using the Evergreen Post Tweeter plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "evergreen-post-tweeter" /var/www/html/wp-content/plugins/
wp plugin list | grep evergreen-post-tweeter• generic web:
curl -I https://example.com/ | grep -i 'x-frame-options'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-67622 को कम करने के लिए, Evergreen Post Tweeter को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट तुरंत संभव नहीं है, तो CSRF टोकन का उपयोग करके इनपुट को मान्य करने और सैनिटाइज करने के लिए अस्थायी उपाय किए जा सकते हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने से रोका जा सके। अपडेट करने के बाद, यह सुनिश्चित करने के लिए वेबसाइट की सुरक्षा का परीक्षण करें कि भेद्यता ठीक हो गई है।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-67622 Evergreen Post Tweeter में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जो संग्रहीत XSS की अनुमति देती है। इससे हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं।
यदि आप Evergreen Post Tweeter के संस्करण 0 से 1.8.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-67622 को ठीक करने के लिए, Evergreen Post Tweeter को नवीनतम संस्करण में अपडेट करें।
CVE-2025-67622 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए खुला है।
आधिकारिक एडवाइजरी Evergreen Post Tweeter की वेबसाइट पर उपलब्ध होनी चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।