GSheetConnector For Gravity Forms <= 1.3.23 - क्रॉस-साइट रिक्वेस्ट फोर्जरी से मनमाना प्लगइन सक्रियण/निष्क्रियण

यह भेद्यता हमलावरों को प्रशासकों को धोखा देने की अनुमति देती है ताकि वे प्लगइन्स को सक्रिय या निष्क्रिय कर सकें, जिससे वेबसाइट की कार्यक्षमता में गंभीर बदलाव हो सकते हैं। हमलावर प्रशासक के क्रेडेंशियल्स का उपयोग करके, वे प्लगइन्स को हटा सकते हैं, दुर्भावनापूर्ण प्लगइन्स स्थापित कर सकते हैं, या वेबसाइट के अन्य महत्वपूर्ण पहलुओं को बदल सकते हैं। यह वेबसाइट की सुरक्षा और अखंडता को खतरे में डाल सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को एक दुर्भावनापूर्ण लिंक बनाना होगा या एक समझौता किए गए पृष्ठ पर प्रशासक को निर्देशित करना होगा।

WordPress websites utilizing the GSheetConnector for Gravity Forms plugin, particularly those with administrators who frequently manage plugins or visit external links. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromised account on one site could potentially affect others.

• wordpress / composer / npm:

grep -r 'activate_plugin|deactivate_plugin' /var/www/html/wp-content/plugins/gsheetconnector-for-gravity-forms/

• wordpress / composer / npm:

wp plugin list --status=active | grep gsheetconnector

• wordpress / composer / npm:

wp plugin update gsheetconnector-for-gravity-forms

1. 2025-10-11Disclosure

   disclosure

1. आरक्षित2025-08-05
2. प्रकाशित2025-10-11
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

सबसे पहले, GSheetConnector for Gravity Forms प्लगइन को तुरंत संस्करण 1.3.24 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों को रोक सकता है। WAF को इस प्लगइन के लिए विशिष्ट CSRF नियमों के साथ कॉन्फ़िगर करें। इसके अतिरिक्त, प्लगइन की सक्रियता और निष्क्रियता प्रक्रियाओं के लिए nonce सत्यापन को मजबूत करने के लिए प्लगइन कोड में मैन्युअल परिवर्तन करने पर विचार करें। अपडेट करने के बाद, प्लगइन की कार्यक्षमता को सत्यापित करें ताकि यह सुनिश्चित हो सके कि यह ठीक से काम कर रहा है।

सक्रिय इंस्टॉलेशन

1Kआला

प्लगइन रेटिंग