| प्लगइन का नाम | themesflat-addons-for-elementor |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2024-4212 |
| तात्कालिकता | मध्यम |
| CVE प्रकाशन तिथि | 2026-02-02 |
| स्रोत URL | CVE-2024-4212 |
themesflat-addons-for-elementor — परावर्तित XSS (CVE-2024-4212)
लेखक: हांगकांग सुरक्षा विशेषज्ञ — साइट प्रशासकों और डेवलपर्स के लिए सलाह और संचालन मार्गदर्शन।.
कार्यकारी सारांश
2026-02-02 को एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता जो वर्डप्रेस प्लगइन को प्रभावित करती है themesflat-addons-for-elementor को प्रकाशित किया गया था CVE-2024-4212. यह समस्या एक परावर्तित/DOM-आधारित XSS है जो इनपुट मान्यता की कमी और प्लगइन द्वारा प्रदान किए गए एक या अधिक विजेट्स में अनुचित आउटपुटescaping के कारण होती है। एक हमलावर एक URL या उपयोगकर्ता-नियंत्रित इनपुट तैयार कर सकता है जो, जब पीड़ित के ब्राउज़र द्वारा प्रस्तुत किया जाता है, तो कमजोर साइट के संदर्भ में मनमाने JavaScript के निष्पादन का परिणाम होता है।.
तकनीकी विवरण (संक्षिप्त)
- भेद्यता वर्ग: क्रॉस-साइट स्क्रिप्टिंग (परावर्तित / DOM)।.
- मूल कारण: HTML या तत्वोर विजेट्स द्वारा प्रस्तुत किए गए विशेषताओं में डालने से पहले उपयोगकर्ता-नियंत्रित इनपुट को ठीक से साफ़ और एस्केप करने में विफलता।.
- संभावित वेक्टर: क्वेरी पैरामीटर, विजेट सेटिंग्स जो मुक्त-पाठ या URL मान स्वीकार करती हैं, और विशेषताएँ जो बिना esc_html/esc_attr या उचित wp_kses फ़िल्टरिंग के मार्कअप में मुद्रित होती हैं।.
- शोषणीयता: पीड़ित को एक तैयार URL पर जाने या उस सामग्री के साथ बातचीत करने की आवश्यकता होती है जो हमलावर द्वारा प्रदान किए गए इनपुट को दर्शाती है; सामाजिक इंजीनियरिंग एक संभावित वितरण तंत्र है।.
प्रभावित संस्करण
सभी ज्ञात रिलीज़ जो विक्रेता के फिक्स को शामिल नहीं करती हैं प्रभावित हैं। प्रशासकों को पैच किए गए रिलीज़ की पहचान करने के लिए प्लगइन चेंजलॉग या प्लगइन रिपॉजिटरी पृष्ठ पर परामर्श करना चाहिए। यदि आप सुरक्षित संस्करण निर्धारित नहीं कर सकते हैं, तो मान लें कि आपकी वर्तमान स्थापना प्रभावित है जब तक कि अन्यथा साबित न हो।.
