Urgent: Stored XSS in “Multi Post Carousel by Category” (<= 1.4) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

एक हांगकांग सुरक्षा विशेषज्ञ द्वारा — प्रकाशित 2026-03-23

A recently disclosed vulnerability in the WordPress plugin “Multi Post Carousel by Category” (versions ≤ 1.4) permits an authenticated contributor-level user to store cross-site scripting (XSS) payloads via the plugin’s “slides” shortcode attribute. This is a stored XSS that requires an authenticated contributor account to inject payloads and certain viewing actions to trigger execution.

हांगकांग में एक परिचालन सुरक्षा प्रैक्टिशनर के दृष्टिकोण से, इसे परिचालन रूप से तत्काल मानें। हालांकि शोषण के लिए योगदानकर्ता पहुंच की आवश्यकता होती है, संग्रहीत XSS उच्च-प्रभाव वाले परिणाम उत्पन्न कर सकता है: सत्र चोरी, व्यवस्थापक अधिग्रहण, सामग्री विषाक्तता, SEO क्षति और स्थायी बैकडोर। नीचे दिए गए मार्गदर्शन व्यावहारिक, प्राथमिकता वाले और तात्कालिक अनुप्रयोग के लिए उपयुक्त हैं।.

सामग्री

• कमजोरियाँ क्या हैं (साधारण भाषा)
• हमलावर इसे कैसे शोषण कर सकता है — वास्तविकवादी हमले के परिदृश्य
• तात्कालिक कार्रवाई (0–24 घंटे)
• अस्थायी कोड शमन जो आप अभी लागू कर सकते हैं
• डेटाबेस और पहचानने के कदम जो इंजेक्ट की गई सामग्री को खोजने के लिए
• WAF/वर्चुअल पैच नियम और सिफारिशें
• पुनर्प्राप्ति और घटना के बाद की मजबूती
• Appendix: quick commands, SQL & WP-CLI queries

यह भेद्यता क्या है (साधारण भाषा)

This is a stored (persistent) Cross‑Site Scripting (XSS) vulnerability arising from insufficient sanitization of user-supplied data used in a shortcode attribute named “slides”. An attacker with Contributor role can craft content that contains the vulnerable shortcode and a malicious payload in the slides attribute. When that shortcode is rendered, the malicious JavaScript executes in the browser context of viewers — including administrators.

• संवेदनशील सॉफ़्टवेयर: श्रेणी द्वारा मल्टी पोस्ट कैरोसेल प्लगइन (≤ 1.4)।.
• कमजोरियों का प्रकार: संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)।.
• आवश्यक विशेषाधिकार: योगदानकर्ता (या उच्च) प्रमाणित उपयोगकर्ता।.
• प्रभाव: सत्र चोरी, व्यवस्थापक सत्र के तहत अनधिकृत क्रियाएँ, सामग्री इंजेक्शन, रीडायरेक्ट, SEO स्पैम, या स्थायी बैकडोर।.
• ट्रिगर: एक पृष्ठ या पूर्वावलोकन देखना जहाँ इंजेक्ट किया गया शॉर्टकोड प्रस्तुत किया गया है।.

संग्रहीत XSS DB सामग्री में तब तक बना रहता है जब तक कि इसे हटा नहीं दिया जाता — पहचान, हटाना और नियंत्रण सभी आवश्यक हैं।.

एक हमलावर इसको वास्तविकता में कैसे भुनाने की कोशिश कर सकता है (खतरे के परिदृश्य)

संभावित हमले की श्रृंखलाओं को समझना प्रतिक्रिया को प्राथमिकता देने में मदद करता है।.

1. पोस्ट पूर्वावलोकन के माध्यम से योगदानकर्ता से व्यवस्थापक में वृद्धि
   • हमलावर एक योगदानकर्ता खाता प्राप्त करता है (समझौता किए गए क्रेडेंशियल या दुर्भावनापूर्ण अंदरूनी व्यक्ति)।.
   • हमलावर एक पोस्ट बनाता है जिसमें कमजोर शॉर्टकोड होता है जिसमें स्लाइड्स विशेषता में एम्बेडेड जावास्क्रिप्ट होती है।.
   • An administrator/editor previews the post in wp-admin or views the front-end — the script runs in the admin’s browser.
   • स्क्रिप्ट टोकन/कुकीज़ को निकालती है या क्रियाएँ करती है (व्यवस्थापक उपयोगकर्ता बनाना, ईमेल बदलना, कॉन्फ़िगरेशन निर्यात करना)।.
2. स्थायी फ्रंट-एंड संक्रमण
   • दुर्भावनापूर्ण शॉर्टकोड एक सार्वजनिक रूप से दृश्य पृष्ठ पर रखा गया है; आगंतुक इंजेक्टेड स्क्रिप्ट को निष्पादित करते हैं।.
   • परिणामों में फ़िशिंग/मैलवेयर के लिए पुनर्निर्देश, विज्ञापन इंजेक्शन, या आगे की सामग्री समझौता शामिल हैं।.
3. SEO & distribution abuse
   • इंजेक्टेड स्क्रिप्ट क्रॉलर को स्पैम सामग्री को अनुक्रमित करने का कारण बनती हैं, जो खोज रैंकिंग और दीर्घकालिक ट्रैफ़िक को नुकसान पहुँचाती हैं।.
4. Lateral movement & persistence
   • व्यवस्थापक सत्र के समझौते के बाद, हमलावर बैकडोर स्थापित करता है, फ़ाइलों को संशोधित करता है, या अनुसूचित कार्य बनाता है।.

नोट: योगदानकर्ता पहुंच कई साइटों पर सामान्यतः उपलब्ध है (अतिथि लेखक, पुनः उपयोग किए गए क्रेडेंशियल)। जहां प्लगइन्स HTML-सक्षम विशेषताओं को संसाधित करते हैं, वहां योगदानकर्ता विशेषाधिकार को अविश्वसनीय मानें।.

तात्कालिक क्रियाएँ (पहले 0–24 घंटे)

पूर्ण सुधार लागू होने तक इन चरणों को क्रम में करें।.

1. प्रभावित साइटों की पहचान करें।. अपने संपत्ति में इंस्टॉलेशन और प्लगइन संस्करणों की सूची बनाएं।.
2. यदि उपलब्ध हो तो विक्रेता पैच लागू करें — तुरंत अपडेट करें।. पहले DB और wp-content का बैकअप लें।.
3. यदि अभी तक कोई पैच नहीं है - प्लगइन को निष्क्रिय करें।. यह शॉर्टकोड रेंडरिंग और तात्कालिक शोषण को रोकता है।.
4. योगदानकर्ता गतिविधि को सीमित या ऑडिट करें।. नए योगदानकर्ता पंजीकरण को निष्क्रिय करें, मौजूदा योगदानकर्ता खातों की समीक्षा करें, और संदिग्ध उपयोगकर्ताओं को निलंबित करें। यदि आवश्यक हो तो पासवर्ड रीसेट करने के लिए मजबूर करें।.
5. एक अल्पकालिक सामग्री स्वच्छता फ़िल्टर लागू करें।. रेंडर की गई सामग्री से स्क्रिप्ट को हटाने के लिए एक अस्थायी फ़िल्टर जोड़ें (नीचे उदाहरण)।.
6. संदिग्ध शॉर्टकोड/सामग्री के लिए स्कैन करें।. उम्मीदवार पोस्ट को खोजने के लिए पहचान अनुभाग में SQL/WP-CLI स्कैन का उपयोग करें।.
7. लॉग की निगरानी करें और अलर्ट करें।. शॉर्टकोड पैटर्न वाले पोस्ट/अनुरोधों के लिए वेब सर्वर और एप्लिकेशन लॉग पर नज़र रखें।.
8. यदि समझौता होने का संदेह है: साइट को ऑफ़लाइन लें या अज्ञात IP को ब्लॉक करें, फोरेंसिक्स के लिए स्नैपशॉट लें, और उच्च-विशेषाधिकार क्रेडेंशियल्स को घुमाएँ।.

अस्थायी कोड शमन जो आप लागू कर सकते हैं (सुरक्षित, उलटने योग्य)

परिवर्तनों को एक mu-plugin (अनुशंसित) या थीम functions.php में लागू करें। लागू करने से पहले बैकअप लें और जहां संभव हो, स्टेजिंग पर परीक्षण करें।.

1) कमजोर शॉर्टकोड को हटा दें / निष्क्रिय करें (प्राथमिकता)

यदि आप शॉर्टकोड टैग की पहचान कर सकते हैं (जैसे।. mpc_कारोसेल या मल्टी_पोस्ट_कारोसेल), इसे हटा दें ताकि प्लगइन हैंडलर निष्पादित न हो।.

2) वैश्विक स्क्रिप्ट हटाने वाला फ़िल्टर (बर्बर लेकिन प्रभावी)

Removes blocks. $content = preg_replace('##is', '', $content); // Remove javascript: pseudo-protocol from href/src $content = preg_replace('#(href|src)\s*=\s*[\'"]\s*javascript:[^\'"]*[\'"]#i', '', $content); return $content; } ?>

3) केवल दोषपूर्ण शॉर्टकोड विशेषता को साफ करें (सर्जिकल)

यदि आप जानते हैं कि प्लगइन शॉर्टकोड विशेषताओं को कैसे मैप करता है, तो आउटपुट से पहले विशेषता को साफ करें। स्लाइड आउटपुट से पहले। फ़िल्टर का नाम शॉर्टकोड टैग पर निर्भर करता है।.

add_filter('shortcode_atts_mpc_carousel', 'hk_sanitize_mpc_slides', 10, 3);

function hk_sanitize_mpc_slides($out, $pairs, $atts){
    if ( isset($out['slides']) ) {
        // Strip angle brackets and javascript: pseudo-protocol, then remove tags.
        $sanitized = preg_replace('/[<>]/', '', $out['slides']);
        $sanitized = preg_replace('/javascript:/i', '', $sanitized);
        $out['slides'] = wp_strip_all_tags($sanitized);
    }
    return $out;
}

यदि शॉर्टकोड टैग के बारे में निश्चित नहीं हैं, तो पहले remove-shortcode या strip-script दृष्टिकोण का उपयोग करें।.

पहचान: अपने डेटाबेस में इंजेक्ट की गई सामग्री खोजें और जांचें

संग्रहीत XSS अक्सर रहता है पोस्ट_सामग्री, पोस्टमेटा, विजेट विकल्प और संशोधन। संदिग्ध प्रविष्टियों को खोजने के लिए इन क्वेरीज़ और CLI जांचों का उपयोग करें। यदि आवश्यक हो तो तालिका उपसर्ग समायोजित करें। wp_.

A. SQL: संभावित शॉर्टकोड उपयोग पैटर्न के लिए खोजें

-- कैरोसेल शॉर्टकोड के लिए पोस्ट खोजें;

B. SQL: Find posts where ‘slides’ attribute contains angle brackets or “javascript:”

SELECT ID, post_title, post_content
FROM wp_posts
WHERE post_content LIKE '%slides=%<%'
   OR post_content LIKE '%slides=%>%'
   OR post_content LIKE '%slides=%javascript:%';

C. WP-CLI: मेल खाने वाली पोस्टों की खोज करें और दिखाएँ

# शॉर्टकोड टैग (उदाहरण) वाले पोस्ट खोजें'

नोट: उत्पादन पर उच्च लोड से बचने के लिए WP-CLI कमांड को अपने वातावरण के अनुसार अनुकूलित करें।.

D. पोस्टमेटा और विजेट्स को स्कैन करें

खोजें wp_postmeta, 11. संदिग्ध सामग्री के साथ। (widget_option मान), और wp_comments शॉर्टकोड-जैसे डेटा के लिए।.

SELECT option_name FROM wp_options;

E. संशोधनों की जांच करें

SELECT p.ID, r.post_parent, r.post_modified, r.post_content;

F. समझौते के संकेत

• अप्रत्याशित प्रशासनिक उपयोगकर्ता, भूमिका परिवर्तन, या नए उच्च-विशेषाधिकार खाते।.
• अप्रत्याशित अनुसूचित कार्य (क्रोन प्रविष्टियाँ)।.
• अधिकृत अपडेट के बिना संशोधित प्लगइन/थीम फ़ाइलें।.
• सर्वर लॉग में अज्ञात डोमेन के लिए आउटगोइंग कनेक्शन।.

WAF / वर्चुअल पैचिंग: शोषण प्रयासों को रोकने के लिए नियम

वर्चुअल पैच तत्काल सुरक्षा प्रदान करते हैं जबकि आप प्लगइन सुधारों की प्रतीक्षा करते हैं। नीचे आपके WAF, रिवर्स प्रॉक्सी, या वेब सर्वर फ़िल्टरिंग में लागू करने के लिए सामान्य नियम पैटर्न हैं। ये नियम लेखकों या ऑपरेटरों के लिए विक्रेता-स्वतंत्र उदाहरण हैं।.

प्राथमिक उद्देश्य: उन अनुरोधों को ब्लॉक करें जो स्लाइड्स विशेषता में स्क्रिप्ट इंजेक्ट करने का प्रयास करते हैं या संदिग्ध JS वेक्टर शामिल करते हैं।.

• POST अनुरोधों को ब्लॉक/फ्लैग करें जो स्क्रिप्ट टैग के साथ मिलकर एक शॉर्टकोड टैग शामिल करते हैं:
  • पैटर्न: \[mpc_carousel[^\]]*slides=.* (case-insensitive)
• Block attribute values containing javascript: or inline event handlers:
  • Pattern: slides=[^>]*javascript: or onerror=|onload=|onclick=|onmouseover=
• Block POST/PUT requests that include angle brackets in shortcode attributes:
  • Pattern: slides=[^>]*<[^>]+>
• Role-based blocking: consider rejecting saves from Contributor accounts that contain ', '', 'gi') WHERE post_content REGEXP ']*>.*?';

  C. WP-CLI: List posts with ‘slides=’ in content

  wp post list --post_type=post,page --format=csv --field=ID,post_title | \

  D. जोखिम भरे सामग्री के साथ संशोधनों को खोजें

  SELECT p.ID, r.post_parent, r.post_modified, r.post_content;

  अंतिम प्राथमिकता वाली चेकलिस्ट

  1. प्रभावित साइटों और प्लगइन संस्करणों की पहचान तुरंत करें।.
  2. यदि कोई विक्रेता पैच मौजूद है, तो अभी अपडेट करें (पहले बैकअप लें)।.
  3. यदि कोई पैच नहीं है, तो प्लगइन को निष्क्रिय करें या remove-shortcode / strip-script फ़िल्टर लागू करें।.
  4. शॉर्टकोड-आधारित स्क्रिप्ट पेलोड को ब्लॉक करने के लिए WAF नियम लागू करें और जावास्क्रिप्ट: घटनाएँ।.
  5. DB को इंजेक्ट किए गए शॉर्टकोड के लिए स्कैन करें और दुर्भावनापूर्ण प्रविष्टियों को साफ करें; संशोधनों और विकल्पों की जांच करें।.
  6. क्रेडेंशियल्स को घुमाएं और हाल की व्यवस्थापक/संपादक क्रियाओं की समीक्षा करें।.
  7. योगदानकर्ता/उपयोगकर्ता भूमिकाओं को मजबूत करें और न्यूनतम विशेषाधिकार लागू करें।.
  8. बैकअप बनाए रखें और चल रहे स्कैनिंग/निगरानी करें।.

  यदि आपको बाहरी मदद की आवश्यकता है, तो एक योग्य सुरक्षा सलाहकार या एक घटना प्रतिक्रिया प्रदाता को शामिल करें जो वर्डप्रेस वातावरण में अनुभवी हो। पुनर्स्थापन से पहले कंटेनमेंट, साक्ष्य संरक्षण और क्रेडेंशियल घुमाने को प्राथमिकता दें।.

  मुख्य takeaway: अविश्वसनीय शॉर्टकोड विशेषताओं और प्लगइन-प्रदानित HTML-सक्षम क्षेत्रों को खतरनाक इनपुट के रूप में मानें। जल्दी साफ करें, देर से बचें, और जोखिम को कम करने के लिए स्तरित नियंत्रण लागू करें।.