Wवर्डप्रेस भेद्यता डेटाबेस

सुरक्षा सलाहकार रॉयल एलिमेंटर ऐडऑन में XSS (CVE20260664)

वर्डप्रेस रॉयल एलेमेंटोर ऐडऑन प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0






Royal Elementor Addons <= 1.7.1049 — Authenticated Contributor Stored XSS via REST API Meta Bypass (CVE-2026-0664)


प्लगइन का नाम रॉयल एलेमेंटोर ऐडऑन्स
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2026-0664
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-04-03
स्रोत URL CVE-2026-0664

रॉयल एलेमेंटोर ऐडऑन्स <= 1.7.1049 — प्रमाणित योगदानकर्ता स्टोर XSS REST API मेटा बायपास के माध्यम से (CVE-2026-0664)

तारीख: 3 अप्रैल 2026    गंभीरता: कम (CVSS 6.5)    प्रभावित संस्करण: रॉयल एलिमेंटर ऐडऑन ≤ 1.7.1049    पैच किया गया: 1.7.1050    आवश्यक विशेषाधिकार: योगदानकर्ता (प्रमाणित)

एक हांगकांग सुरक्षा विशेषज्ञ के रूप में, जिसके पास वर्डप्रेस प्लगइन जोखिमों और घटना प्रतिक्रिया की समीक्षा करने का अनुभव है, यह सलाह CVE-2026-0664, साइट के मालिकों और प्रशासकों के लिए व्यावहारिक प्रभाव, पहचान तकनीक, तात्कालिक शमन और दीर्घकालिक रक्षा उपायों को समझाती है। यह भेद्यता एक प्रमाणित योगदानकर्ता को REST API मेटा हैंडलिंग के माध्यम से JavaScript को बनाए रखने की अनुमति देती है, जो अपर्याप्त सफाई के कारण होती है। शोषण के लिए आमतौर पर एक विशेषाधिकार प्राप्त उपयोगकर्ता की आवश्यकता होती है जो बाद में संग्रहीत सामग्री को प्रस्तुत करता है, इसलिए संदर्भ महत्वपूर्ण है — लेकिन संग्रहीत XSS खाता समझौता और स्थिरता के लिए एक उच्च जोखिम तकनीक बनी रहती है।.

कार्यकारी सारांश

  • क्या हुआ: Royal Elementor Addons में एक REST API मेटा-हैंडलिंग दोष ने योगदानकर्ताओं को उचित सफाई के बिना पोस्टमेटा या प्लगइन मेटा फ़ील्ड में मनमाना HTML/JS संग्रहीत करने की अनुमति दी।.
  • इसे कौन शुरू कर सकता है: प्रभावित साइट पर योगदानकर्ता विशेषाधिकार वाले कोई भी प्रमाणित उपयोगकर्ता।.
  • संभावित प्रभाव: संग्रहीत XSS — दुर्भावनापूर्ण स्क्रिप्ट बनी रहती है और जब कोई अन्य उपयोगकर्ता (अक्सर एक संपादक या प्रशासक) प्रभावित सामग्री को देखता है या इसके साथ इंटरैक्ट करता है, तो यह निष्पादित होती है। संभावित परिणामों में सत्र चोरी, खाता समझौता, अनधिकृत प्रशासनिक क्रियाएँ, साइट का विकृति, और बैकडोर का स्थापना शामिल हैं।.
  • तात्कालिक सुधार: Royal Elementor Addons को संस्करण 1.7.1050 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो नीचे दिए गए शमन लागू करें (योगदानकर्ता गतिविधि को प्रतिबंधित करें, WAF या सर्वर नियमों के माध्यम से आभासी पैचिंग करें, संदिग्ध मेटा को साफ करें, उपयोगकर्ताओं का ऑडिट करें)।.
  • दीर्घकालिक: न्यूनतम विशेषाधिकार लागू करें, इनपुट को साफ करें, REST API पहुंच को मजबूत करें, संदिग्ध अनुरोधों और संग्रहीत स्क्रिप्टों की निगरानी करें, और स्तरित सुरक्षा और निगरानी अपनाएं।.

भेद्यता कैसे काम करती है (उच्च स्तर का तकनीकी अवलोकन)

प्लगइन REST एंडपॉइंट्स को उजागर करता है जो मेटाडेटा स्वीकार करते हैं। मेटा हैंडलिंग में एक दोष ने योगदानकर्ता द्वारा प्रदान किए गए मानों को HTML और