Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह रॉयल एलेमेंटर ऐडऑन्स(CVE202628135)

वर्डप्रेस रॉयल एलेमेंटर ऐडऑन्स प्लगइन में अन्य कमजोरियों का प्रकार
0
शेयर
0
0
0
0
प्लगइन का नाम रॉयल एलेमेंटोर ऐडऑन्स
कमजोरियों का प्रकार निर्दिष्ट नहीं
CVE संख्या CVE-2026-28135
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-02-28
स्रोत URL CVE-2026-28135

रॉयल एलिमेंटर ऐडऑन्स (≤ 1.7.1049) — CVE-2026-28135 रिपोर्ट आपके साइट के लिए क्या मतलब रखती है और इसे कैसे सुरक्षित करें

लेखक: हांगकांग सुरक्षा विशेषज्ञ
तारीख: 2026-02-26

नोट: यह विश्लेषण रॉयल एलिमेंटर ऐडऑन्स वर्डप्रेस प्लगइन (CVE-2026-28135) के लिए हाल ही में प्रकाशित संवेदनशीलता प्रविष्टि को समझाता है। यह रिपोर्ट में क्या शामिल है, संभावित प्रभाव, आप लागू कर सकते हैं तात्कालिक सुधार, पहचान और मजबूत करने के दिशा-निर्देश, और प्रशासकों के लिए व्यावहारिक संचालन कदमों को कवर करता है।.

TL;DR — संक्षिप्त संस्करण

  • रॉयल एलिमेंटर ऐडऑन्स संस्करण ≤ 1.7.1049 को प्रभावित करने वाली एक संवेदनशीलता को CVE-2026-28135 के रूप में दर्ज किया गया है और इसे “अन्य संवेदनशीलता प्रकार” के रूप में वर्गीकृत किया गया है जो OWASP A4: असुरक्षित डिज़ाइन से संबंधित है।.
  • प्रविष्टि में CVSS 8.2 (उच्च) है और यह पाया गया है कि इसे प्रमाणीकरण के बिना सक्रिय किया जा सकता है।.
  • प्रकाशन के समय कोई आधिकारिक विक्रेता पैच सूचीबद्ध नहीं था। तात्कालिक रक्षात्मक उपाय और नियंत्रण जिम्मेदार पाठ्यक्रम हैं।.
  • यदि आप इस प्लगइन का उपयोग करते हैं: संस्करणों की पुष्टि करें, निष्क्रियता या प्रतिस्थापन पर विचार करें, सार्वजनिक एंडपॉइंट्स तक पहुंच को कड़ा करें, यदि उपलब्ध हो तो वर्चुअल पैचिंग/WAF नियंत्रण लागू करें, समझौता संकेतकों के लिए स्कैन करें, और यदि आवश्यक हो तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.

रिपोर्ट में क्या कहा गया है (साधारण शब्दों में)

संवेदनशीलता प्रविष्टि रॉयल एलिमेंटर ऐडऑन्स (संस्करण 1.7.1049 तक और शामिल) में एक समस्या की पहचान करती है। प्रमुख मेटाडेटा:

  • CVE पहचानकर्ता: CVE-2026-28135
  • वर्गीकरण: अन्य संवेदनशीलता प्रकार (अपर्याप्त डिज़ाइन/तर्क)
  • OWASP मानचित्रण: A4 — असुरक्षित डिज़ाइन
  • आवश्यक विशेषाधिकार: बिना प्रमाणीकरण
  • पैच किया गया संस्करण: प्रकाशित तिथि के अनुसार कोई सूचीबद्ध नहीं है

“अन्य संवेदनशीलता प्रकार” और “असुरक्षित डिज़ाइन” एक तर्क या डिज़ाइन दोष को इंगित करते हैं न कि एक साधारण इनपुट-सैनिटाइजेशन बग। क्योंकि यह खोज प्रमाणीकरण की आवश्यकता नहीं करती है, एक दूरस्थ अभिनेता सार्वजनिक इंटरनेट से व्यवहार को सक्रिय कर सकता है।.

CVSS एक उपयोगी संकेतक है लेकिन स्थानीय संदर्भ का प्रतिस्थापन नहीं है — सर्वर कॉन्फ़िगरेशन, प्लगइन की कौन सी विशेषताएँ उपयोग में हैं, और मौजूदा मजबूत करना सभी वास्तविक दुनिया के जोखिम को प्रभावित करते हैं।.

“असुरक्षित डिज़ाइन” क्यों महत्वपूर्ण है

असुरक्षित डिज़ाइन समस्याएँ आमतौर पर मतलब रखती हैं:

  • सुविधाएँ पर्याप्त खतरे के मॉडलिंग या दुरुपयोग परिदृश्यों के बिना लागू की गई थीं।.
  • व्यावसायिक-तर्क जांच गायब हैं या क्लाइंट-प्रदत्त स्थिति पर निर्भर करती हैं।.
  • सुरक्षित घटक ऐसे तरीकों से बातचीत करते हैं जो एक हमले की श्रृंखला को खोलते हैं (उदाहरण: सार्वजनिक एंडपॉइंट + कमजोर टोकन हैंडलिंग + उदार डिफ़ॉल्ट)।.

डिज़ाइन दोष प्रणालीगत हो सकते हैं और स्थायी रूप से ठीक करना कठिन होता है जब तक कि मूल कारण (सुरक्षित डिज़ाइन और खतरे का मॉडलिंग) को संबोधित नहीं किया जाता। जब दोष बिना प्रमाणीकरण के पहुंच योग्य होता है, तो अच्छी तरह से सुरक्षित व्यवस्थापक क्रेडेंशियल भी जोखिम को रोक नहीं सकते।.

यह कैसे आकलन करें कि आपकी साइट प्रभावित है (तत्काल चेकलिस्ट)

  1. प्लगइन संस्करणों की सूची बनाएं
    • WP व्यवस्थापक: डैशबोर्ड → प्लगइन्स → स्थापित प्लगइन्स → “Royal Elementor Addons” खोजें”
    • WP-CLI: wp प्लगइन सूची --स्थिति=सक्रिय | grep -i रॉयल-एलिमेंटर-ऐडऑन
    • यदि संस्करण ≤ 1.7.1049 है, तो इसे अन्यथा साबित होने तक संवेदनशील मानें।.
  2. उन सार्वजनिक-फेसिंग एंडपॉइंट्स की पहचान करें जो प्लगइन प्रदान करता है

    प्लगइन फ़ाइलों में शॉर्टकोड, AJAX क्रियाएँ, REST एंडपॉइंट या कस्टम री-राइट नियमों की जांच करें (admin-ajax.php क्रियाएँ, register_rest_route, init hooks)।.

  3. संदिग्ध गतिविधि के लिए लॉग खोजें
    • वेब सर्वर एक्सेस लॉग: प्लगइन पथों पर असामान्य POST/GET या अप्रत्याशित क्वेरी पैरामीटर।.
    • PHP त्रुटि लॉग: प्लगइन फ़ाइल पथों के चारों ओर बार-बार चेतावनियाँ या स्टैक ट्रेस।.
  4. फ़ाइल अखंडता की जांच करें

    प्लगइन फ़ाइलों की तुलना आधिकारिक स्रोत से ताज़ा प्रति के खिलाफ करें; नए/संशोधित PHP फ़ाइलों या अस्पष्ट कोड की तलाश करें।.

  5. सुनिश्चित करें कि बैकअप वर्तमान हैं

    हाल के ज्ञात- अच्छे बैकअप होने से यदि समझौता खोजा जाता है तो पुनर्प्राप्ति में तेजी आती है।.

तात्कालिक कार्रवाई — अभी क्या करना है

यदि आपकी साइट एक संवेदनशील संस्करण चला रही है, तो फोरेंसिक्स के लिए सबूत को संरक्षित करते हुए जल्दी से जोखिम को कम करने के लिए इन चरणों का पालन करें:

  1. रखरखाव मोड — यदि आप इसे ऑफ़लाइन लेने की योजना बना रहे हैं तो साइट को रखरखाव मोड में डालें। यदि डाउनटाइम अस्वीकार्य है, तो पहले गैर-व्यवधानकारी नियंत्रणों को प्राथमिकता दें।.
  2. एक ताजा बैकअप लें — डेटाबेस और फ़ाइलें। फोरेंसिक स्रोत के लिए संरक्षित करें।.
  3. सुरक्षात्मक नियंत्रण लागू करें (पहले गैर-व्यवधानकारी)
    • संदिग्ध अनुरोधों को अवरुद्ध करने और प्लगइन एंडपॉइंट्स तक पहुंच को दर-सीमा करने के लिए WAF नियम या रिवर्स-प्रॉक्सी फ़िल्टरिंग लागू करें।.
    • जहां संभव हो, विश्वसनीय IPs के लिए प्लगइन-विशिष्ट एंडपॉइंट्स तक पहुंच को प्रतिबंधित करें।.
    • अजीब पैरामीटर नामों या उच्च मात्रा वाले परीक्षण पैटर्न से मेल खाने वाले HTTP अनुरोधों को ब्लॉक करें।.
  4. प्लगइन को अस्थायी रूप से निष्क्रिय करें — यदि प्लगइन कार्यक्षमता महत्वपूर्ण नहीं है, तो इसे निष्क्रिय करें:
    • WP प्रशासन: प्लगइन निष्क्रिय करें
    • WP-CLI: wp प्लगइन निष्क्रिय करें royal-elementor-addons

    यदि निष्क्रियता आवश्यक कार्यक्षमता को तोड़ती है, तो नीचे लक्षित शमन उपायों पर आगे बढ़ें।.

  5. यदि प्लगइन आवश्यक है और इसे निष्क्रिय नहीं किया जा सकता
    • वैकल्पिक सार्वजनिक सुविधाओं को अक्षम या हटा दें।.
    • उपयोगकर्ता द्वारा प्रदान किए गए इनपुट को स्वीकार करने वाले शॉर्टकोड/विजेट्स को हटा दें या सुरक्षित करें।.
    • जहां संभव हो, nonce जांच, क्षमता जांच या IP प्रतिबंधों के साथ REST/AJAX एंडपॉइंट्स को मजबूत करें।.
  6. शोषण के संकेतों की निगरानी करें और उनका शिकार करें
    • नए प्रशासनिक खाते, बागी अनुसूचित कार्य (wp_cron), अप्रत्याशित फ़ाइलें (वेब शेल), या संदिग्ध आउटबाउंड कनेक्शन।.
    • डेटाबेस विसंगतियाँ (इंजेक्टेड विकल्प, पोस्ट, या उपयोगकर्ता रिकॉर्ड)।.
  7. प्लगइन लेखक के साथ समन्वय करें — एक टिकट खोलें, पैच ETA का अनुरोध करें, और प्रशासकों के लिए कोई अनुशंसित शमन उपाय पूछें।.
  8. प्रतिस्थापन पर विचार करें — यदि लेखक प्रतिक्रिया नहीं देता है या प्लगइन परित्यक्त प्रतीत होता है, तो विकल्पों का मूल्यांकन करें या बनाए रखे गए कोड में आवश्यक कार्यक्षमता लागू करें।.

प्रशासकों के लिए पहचान और फोरेंसिक मार्गदर्शन

यदि आप परीक्षण या समझौते का संदेह करते हैं, तो ये व्यावहारिक कदम उठाएं:

  • प्लगइन का उल्लेख करने वाले अनुरोधों के लिए वेब लॉग्स को Grep करें: 
    sudo zgrep -i "royal" /var/log/nginx/access.log* | less
  • हाल ही में संशोधित प्लगइन फ़ाइलें खोजें: 
    find /path/to/wordpress/wp-content/plugins/royal-elementor-addons -type f -mtime -14 -ls
  • सामान्य वेब-शेल पैटर्न के लिए खोजें: 
    grep -R --line-number -E "base64_decode|gzinflate|eval|preg_replace\(.+/e" /path/to/wordpress/wp-content/
  • डेटाबेस जांच:
    • निरीक्षण करें 7. wp_users हाल ही में बनाए गए खातों के लिए।.
    • जांचें 11. संदिग्ध सामग्री के साथ। अप्रत्याशित ऑटो-लोडेड प्रविष्टियों के लिए।.
  • अनुसूचित घटनाएँ: 
    wp cron event list --due-now
  • आउटबाउंड गतिविधि: अज्ञात होस्टों के लिए असामान्य आउटबाउंड कनेक्शनों के लिए सर्वर नेटवर्क लॉग की समीक्षा करें।.

यदि आप समझौता की पुष्टि करते हैं: साइट को अलग करें (यदि संभव हो तो ऑफ़लाइन लें), लॉग और स्नैपशॉट्स को संरक्षित करें, साफ करें और ज्ञात-भले बैकअप से पुनर्स्थापित करें, और सभी उजागर क्रेडेंशियल्स (व्यवस्थापक खाते, डेटाबेस उपयोगकर्ता, एपीआई कुंजी, टोकन) को घुमाएँ।.

  1. न्यूनतम विशेषाधिकार का सिद्धांत — प्लगइन क्षमताओं को सीमित करें और अनावश्यक विशेषाधिकार देने से बचें।.
  2. सॉफ़्टवेयर को अपडेट रखें — कोर, थीम और प्लगइन्स को तुरंत पैच किया जाना चाहिए।.
  3. सुरक्षित डिज़ाइन और कोड समीक्षा — प्लगइन लेखकों के लिए: विकास में खतरे के मॉडलिंग, दुरुपयोग-केस परीक्षण, और डिज़ाइन समीक्षाओं को शामिल करें।.
  4. कई रक्षात्मक परतों का उपयोग करें — WAF/वर्चुअल पैच, मजबूत प्रमाणीकरण, और निगरानी मिलकर जोखिम को कम करते हैं।.
  5. न्यूनतम-प्रदर्शन तैनाती — उचित स्थान पर अलग IPs, HTTP प्रमाणीकरण, या VPNs के माध्यम से व्यवस्थापक अंत बिंदुओं तक पहुँच को प्रतिबंधित करें।.
  6. लॉगिंग और निगरानी — लॉग को केंद्रीकृत करें और असामान्य पैटर्न (4xx/5xx में स्पाइक्स, प्लगइन अंत बिंदुओं पर दोहराए गए POSTs, अजीब उपयोगकर्ता एजेंट) के लिए अलर्ट ट्रिगर करें।.
  7. PHP और सर्वर कॉन्फ़िगरेशन को मजबूत करें — PHP को अपडेट रखें और सर्वर हार्डनिंग के सर्वोत्तम प्रथाओं का पालन करें; जहां संभव हो, जोखिम भरे फ़ंक्शनों को निष्क्रिय करें।.

आपको एकल रक्षा उपाय पर भरोसा क्यों नहीं करना चाहिए

कोई एकल नियंत्रण पर्याप्त नहीं है। निष्क्रियता नए शोषण को रोक सकती है, लेकिन यह पूर्व हमलों द्वारा छोड़े गए अवशेषों को नहीं हटाती है। एक WAF ज्ञात पैटर्न को ब्लॉक कर सकता है लेकिन नए रूपों द्वारा बायपास किया जा सकता है। वास्तविक सुरक्षा में शामिल है:

  • समय पर पहचान (लॉगिंग + स्कैनिंग)
  • निवारक नियंत्रण (WAF, पहुँच प्रतिबंध)
  • सुधार (पैच, कोड सुधार)
  • पुनर्प्राप्ति (बैकअप और सत्यापित पुनर्स्थापना)
  • निरंतर निगरानी

उदाहरण घटना प्लेबुक (प्रशासक)

  1. दिन 0 — खोज
    • प्लगइन संस्करण की पुष्टि करें और यह सुनिश्चित करें कि CVE-2026-28135 लागू होता है।.
    • बैकअप लें और अतिरिक्त लॉगिंग सक्षम करें।.
  2. दिन 0 — सीमित करना (घंटे)
    • प्लगइन को निष्क्रिय करें या यदि संभव हो तो कमजोर सुविधाओं को बंद करें।.
    • प्लगइन एंडपॉइंट्स और संदिग्ध पेलोड को ब्लॉक करने के लिए WAF नियम या फ़िल्टर लागू करें।.
    • जहां व्यावहारिक हो, IP द्वारा पहुँच को प्रतिबंधित करें।.
  3. दिन 1 — जांच
    • लॉग, फ़ाइलों और DB में घुसपैठ के लिए खोजें। यदि समझौता होने का संदेह हो, तो फोरेंसिक प्रतियां सुरक्षित रखें।.
  4. दिन 2 — सुधार
    • दुर्भावनापूर्ण फ़ाइलें हटाएँ, क्रेडेंशियल्स को घुमाएँ, और यदि आवश्यक हो तो ज्ञात-भले बैकअप से पुनर्स्थापित करें।.
  5. दिन 3 — पुनर्प्राप्ति और सख्ती
    • साइट को सुरक्षात्मक नियंत्रणों के पीछे ऑनलाइन लाएँ और निकटता से निगरानी करें।.
  6. घटना के बाद
    • सीखे गए पाठों का दस्तावेज़ीकरण करें और परिवर्तन-प्रबंधन और संपत्ति-इन्वेंटरी प्रक्रियाओं को अपडेट करें।.

सामान्य प्रश्न

प्रश्न: CVSS उच्च है (8.2) लेकिन कुछ नोट्स कहते हैं “कम प्राथमिकता।” मुझे किस पर भरोसा करना चाहिए?

उत्तर: CVSS एक सामान्य संकेतक है और स्थानीय कॉन्फ़िगरेशन या उपयोग को कैद नहीं कर सकता। यदि आप प्रभावित संस्करण चला रहे हैं तो उच्च CVSS को गंभीरता से लें, लेकिन जोखिम के आधार पर प्राथमिकता दें: सार्वजनिक एंडपॉइंट और सक्रिय उपयोग तात्कालिकता बढ़ाते हैं।.

प्रश्न: क्या प्लगइन को निष्क्रिय करना पर्याप्त है?

उत्तर: निष्क्रियता प्लगइन कोड के माध्यम से नए शोषण प्रयासों को रोकती है, लेकिन यह पिछले हमलों द्वारा छोड़े गए किसी भी बैकडोर या कलाकृतियों को नहीं हटाती। निष्क्रियता के बाद अखंडता जांच और स्कैन करें।.

प्रश्न: क्या मुझे विक्रेता पैच का इंतज़ार करना चाहिए?

उत्तर: यदि आप प्लगइन को सुरक्षित रूप से निष्क्रिय या बदल सकते हैं, तो यह अक्सर सबसे तेज़ सुरक्षित मार्ग होता है। यदि नहीं, तो नियंत्रणों को लागू करें (पहुँच प्रतिबंध, WAF नियम, निगरानी) और पैच समयरेखा के लिए विक्रेता समन्वय के साथ फॉलो अप करें।.

प्रश्न: क्या आभासी पैच विश्वसनीय हैं?

उत्तर: आभासी पैच प्रभावी रोकथाम हैं जो ज्ञात शोषण पैटर्न को रोकते हैं। इन्हें निगरानी, फोरेंसिक्स, और एक स्थायी विक्रेता पैच के साथ मिलाकर उपयोग किया जाना चाहिए।.

प्रबंधित सुरक्षा और सेवाओं पर संचालन नोट

उन टीमों के लिए जिनके पास इन-हाउस सुरक्षा संचालन नहीं हैं, एक विश्वसनीय प्रबंधित-सुरक्षा प्रदाता या अनुभवी घटना प्रतिक्रिया सलाहकार को शामिल करने पर विचार करें:

  • प्लगइन एंडपॉइंट्स के लिए WAF नियम बनाने और परीक्षण करने के लिए।.
  • साइट पर मैलवेयर स्कैनिंग और अखंडता जांच करने के लिए।.
  • नियंत्रण, फोरेंसिक्स और पुनर्प्राप्ति योजना का समन्वय करने के लिए।.

प्रदाताओं का चयन दस्तावेज़ीकृत तकनीकी क्षमता और घटना-प्रतिक्रिया ट्रैक रिकॉर्ड के आधार पर करें — विक्रेता लॉक-इन से बचें और सुनिश्चित करें कि वे पारदर्शी, ऑडिट करने योग्य प्रक्रियाओं का पालन करते हैं।.

व्यावहारिक शमन विधियाँ (इन्हें अभी करें)

  1. गैर-व्यवधानकारी आभासी पैचिंग — प्लगइन एंडपॉइंट्स पर अनुरोधों को ब्लॉक या चुनौती देने और संदिग्ध व्यवहार की दर-सीमा लगाने के लिए फ़िल्टर लागू करें।.
  2. एंडपॉइंट एक्सेस को प्रतिबंधित करें — IP अनुमति सूचियों, HTTP प्रमाणीकरण, या रिवर्स-प्रॉक्सी नियमों का उपयोग करें ताकि किसी भी प्लगइन एंडपॉइंट को प्रतिबंधित किया जा सके जो सार्वजनिक होने का इरादा नहीं रखते। उदाहरण nginx स्निप्पेट: 
    location /wp-json/royal-elementor-addons/ {
  3. यदि सुरक्षित हो तो प्लगइन को निष्क्रिय करेंwp प्लगइन निष्क्रिय करें royal-elementor-addons
  4. विशिष्ट सुविधाओं को निष्क्रिय करें — उन शॉर्टकोड और विजेट्स को हटा दें जो बाहरी इनपुट को प्रोसेस करते हैं।.
  5. REST/AJAX हैंडलर्स को मजबूत करें — नॉनस और क्षमता जांचें जोड़ें; स्थिति-परिवर्तनकारी संचालन के लिए प्रमाणीकरण की आवश्यकता करें।.
  6. लॉगिंग और अलर्टिंग को बढ़ाएं — प्लगइन एंडपॉइंट्स के लिए अस्थायी रूप से लॉगिंग विवरण बढ़ाएं और स्पाइक्स या त्रुटि विसंगतियों के लिए अलर्ट सेट करें।.
  7. विकल्पों पर विचार करें — एक बनाए रखा प्लगइन में माइग्रेट करें या समीक्षा किए गए कस्टम कोड में आवश्यक कार्यक्षमता लागू करें।.

अंतिम चेकलिस्ट — संक्षिप्त क्रियाएँ

  • पहचानें कि क्या आपकी साइट Royal Elementor Addons ≤ 1.7.1049 चला रही है।.
  • यदि हाँ, तो एक बैकअप लें और समाहित करें: प्लगइन को निष्क्रिय करें या प्लगइन एंडपॉइंट्स को ब्लॉक करने के लिए फ़िल्टरिंग/WAF नियम लागू करें।.
  • एक्सेस को मजबूत करें: IP को प्रतिबंधित करें, प्रशासनिक क्षेत्रों के लिए HTTP प्रमाणीकरण जोड़ें, और दर सीमित करें।.
  • समझौता संकेतकों (फाइलें, DB, अप्रत्याशित खाते) के लिए पूरी तरह से स्कैन करें।.
  • प्लगइन लेखक के साथ संवाद करें और विक्रेता द्वारा प्रदान किए गए पैच की निगरानी करें।.
  • एक स्तरित दृष्टिकोण अपनाएं: फ़िल्टरिंग/WAF + मैलवेयर स्कैनिंग + निगरानी + सुरक्षित डिज़ाइन प्रथाएँ।.
  • यदि आपके पास इन-हाउस क्षमता की कमी है, तो समाहित करने और फोरेंसिक्स समर्थन के लिए एक प्रतिष्ठित प्रबंधित-सुरक्षा प्रदाता से संपर्क करें।.

डिज़ाइन दोष जो प्रमाणीकरण के बिना सुलभ हैं, स्कैनिंग और त्वरित शोषण को आमंत्रित करते हैं। जल्दी कार्रवाई करें: रोकें, जांच करें, और मजबूत करें। यदि आपको हांगकांग में एक स्थानीय सुरक्षा पेशेवर से दूसरी राय की आवश्यकता है, तो एक सलाहकार को शामिल करें जिसके पास घटना-प्रतिक्रिया का अनुभव और सत्यापित संदर्भ हों।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

बैकअप एक्सेस जोखिम हांगकांग साइटों को खतरे में डालता है (CVE20261311)

अगला लेख —

हांगकांग साइटों को JetEngine RCE(CVE202628134) से सुरक्षित रखें

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

नेक्सटर ब्लॉक्स स्टोर क्रॉस साइट स्क्रिप्टिंग (CVE20258567) की चेतावनी

  • अगस्त 18, 2025
WordPress Nexter Blocks प्लगइन <= 4.5.4 - प्रमाणित (योगदानकर्ता+) स्टोर किए गए क्रॉस-साइट स्क्रिप्टिंग कई विजेट्स के माध्यम से कमजोरियों