WordPress Profile Builder Pro प्लगइन < 3.14.0 - SQL Injection भेद्यता

यह SQL Injection भेद्यता हमलावरों को डेटाबेस क्वेरीज़ को नियंत्रित करने की अनुमति देती है, जिससे वे डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं, संशोधित कर सकते हैं या हटा सकते हैं। हमलावर उपयोगकर्ता क्रेडेंशियल, व्यक्तिगत जानकारी और अन्य गोपनीय डेटा तक पहुंच प्राप्त कर सकते हैं। इसके अतिरिक्त, हमलावर डेटाबेस सर्वर पर कमांड निष्पादित करने या सिस्टम तक पहुंच प्राप्त करने के लिए इस भेद्यता का उपयोग कर सकते हैं। यह भेद्यता वेबसाइट की अखंडता और सुरक्षा के लिए एक गंभीर खतरा है। इस तरह के SQL Injection भेद्यताओं का उपयोग अक्सर डेटा उल्लंघन और सेवा से इनकार (DoS) हमलों के लिए किया जाता है।

WordPress websites utilizing Profile Builder Pro, particularly those running versions prior to 3.14.0, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a successful attack on one site could potentially compromise others.

• wordpress / composer / npm:

grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/profile-builder-pro/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=profile-builder-pro-settings&action=test_db_connection | grep SQL

• wordpress / composer / npm:

wp plugin list --status=active | grep profile-builder-pro

1. 2026-03-19Disclosure

   disclosure

1. आरक्षित2026-02-19
2. प्रकाशित2026-03-19
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-26

इस भेद्यता को कम करने के लिए, Profile Builder Pro को तुरंत संस्करण 3.14.0 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL Injection हमलों को ब्लॉक करने का प्रयास करें। WAF को SQL Injection पैटर्न का पता लगाने और ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके डेटाबेस क्वेरीज़ को सुरक्षित करना महत्वपूर्ण है। डेटाबेस उपयोगकर्ता खातों को न्यूनतम आवश्यक विशेषाधिकारों के साथ कॉन्फ़िगर किया जाना चाहिए।