CVE-2025-67625: CSRF in Trade Runner

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता के खाते में अनधिकृत क्रियाएं करने की अनुमति देती है। उदाहरण के लिए, एक हमलावर उपयोगकर्ता की जानकारी को बदल सकता है, नए खाते बना सकता है, या अन्य हानिकारक क्रियाएं कर सकता है। इस भेद्यता का उपयोग संवेदनशील डेटा तक पहुंचने या सिस्टम को नियंत्रित करने के लिए किया जा सकता है। चूंकि यह Trade Runner में है, इसलिए वित्तीय लेनदेन या व्यापारिक डेटा से संबंधित सिस्टम विशेष रूप से जोखिम में हैं। इस तरह की भेद्यता का शोषण करने से महत्वपूर्ण वित्तीय नुकसान या प्रतिष्ठा को नुकसान हो सकता है।

Organizations and individuals utilizing Trade Runner versions 0.0.0 through 3.14 are at risk. This includes those deploying Trade Runner on shared WordPress hosting environments, as they may be more vulnerable to CSRF attacks due to limited control over server configurations. Users who frequently access Trade Runner through untrusted links or websites are also at increased risk.

• wordpress / composer / npm:

grep -r "/wp-admin/admin-ajax.php" ./

• generic web:

curl -I https://your-trade-runner-site.com/wp-admin/admin-ajax.php | grep -i 'content-security-policy'

1. 2025-12-24Disclosure

   disclosure

1. आरक्षित2025-12-09
2. प्रकाशित2025-12-24
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-67625 को कम करने के लिए, Trade Runner को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन का उपयोग करके इनपुट को मान्य करने के लिए एप्लिकेशन कोड को संशोधित करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता सत्र सुरक्षित हैं और संवेदनशील कार्यों के लिए अतिरिक्त प्रमाणीकरण की आवश्यकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लिकेशन का परीक्षण करें।

सक्रिय इंस्टॉलेशन

100

प्लगइन रेटिंग