TL;DR

संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE-2026-4655) एलिमेंट पैक ऐडऑन को प्रभावित करती है (संस्करण ≤ 8.4.2)। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार हैं, वह प्लगइन के SVG छवि विजेट के माध्यम से एक तैयार SVG अपलोड कर सकता है, जिससे संग्रहीत XSS होता है। विक्रेता ने संस्करण 8.5.0 में समस्या को ठीक किया। प्रभाव को मध्यम (CVSS 6.5) के रूप में रेट किया गया है। शोषण के लिए कमजोर प्लगइन और एक प्रमाणित योगदानकर्ता खाता (या एक साइट कॉन्फ़िगरेशन जो योगदानकर्ताओं को मीडिया अपलोड करने की अनुमति देता है) की आवश्यकता होती है।.

तात्कालिक प्राथमिकताएँ:

• जितनी जल्दी हो सके एलिमेंट पैक ऐडऑन को 8.5.0 या बाद के संस्करण में अपडेट करें।.
• यदि आप तुरंत अपडेट नहीं कर सकते: एक WAF के साथ वेक्टर को ब्लॉक करें, SVG अपलोड को अक्षम करें, अपलोड अनुमतियों को सीमित करें, और मीडिया पुस्तकालय से संदिग्ध SVG को ऑडिट/हटाएं।.
• पैच करते समय शोषण प्रयासों को रोकने के लिए वर्चुअल पैचिंग / लक्षित WAF नियमों का उपयोग करें।.

पृष्ठभूमि — भेद्यता को साधारण भाषा में

एलिमेंट पैक ऐडऑन में संस्करण 8.4.2 तक SVG स्वच्छता/हैंडलिंग दोष था। प्रमाणित उपयोगकर्ता जिनके पास योगदानकर्ता विशेषाधिकार (या उच्चतर) हैं, वे स्क्रिप्टिंग संरचनाओं (इनलाइन जावास्क्रिप्ट, इवेंट हैंडलर, खतरनाक संस्थाएं) वाले SVG फ़ाइलें अपलोड कर सकते थे। प्लगइन का SVG छवि विजेट असुरक्षित SVG को इस तरह से संग्रहीत या प्रस्तुत करता था कि उस स्क्रिप्ट को बाद में निष्पादित करने की अनुमति मिलती थी — एक संग्रहीत XSS।.

संग्रहीत XSS विशेष रूप से खतरनाक है क्योंकि दुर्भावनापूर्ण पेलोड स्थायी होता है (मीडिया पुस्तकालय, पोस्टमेटा, डेटाबेस) और जब कोई अन्य उपयोगकर्ता या कोई भी आगंतुक प्रभावित पृष्ठ को लोड करता है तो निष्पादित हो सकता है। हमलावर को या तो सामग्री को देखने/इंटरैक्ट करने के लिए एक उच्च-विशेषाधिकार प्राप्त उपयोगकर्ता की आवश्यकता होती है या एक नियमित आगंतुक को उस पृष्ठ को लोड करने की आवश्यकता होती है जहां SVG प्रस्तुत किया गया है। विक्रेता ने 8.5.0 में बग को ठीक किया; CVE-2026-4655 मीडिया अपलोड करने के लिए एक प्रमाणित योगदानकर्ता (या समान) खाते की आवश्यकता को नोट करता है।.

यह वर्डप्रेस साइटों के लिए क्यों महत्वपूर्ण है

• SVG XML हैं और इनमें स्क्रिप्टेबल सामग्री हो सकती है; PNG/JPG के विपरीत, वे जावास्क्रिप्ट या इवेंट हैंडलर शामिल कर सकते हैं जो इनलाइन प्रस्तुत किए जाने पर निष्पादित होते हैं।.
• एलिमेंटर और ऐडऑन पारिस्थितिकी तंत्र साइट की कार्यक्षमता का विस्तार करते हैं लेकिन हमले की सतह को भी बढ़ाते हैं।.
• योगदानकर्ता खाते आमतौर पर सामग्री योगदानकर्ताओं के लिए उपलब्ध होते हैं; यदि उन खातों को मीडिया अपलोड करने की अनुमति है, तो उनका उपयोग SVG अपलोड को हथियार बनाने के लिए किया जा सकता है।.
• संग्रहीत XSS के परिणामों में व्यवस्थापक सत्र की चोरी, विशेषाधिकार वृद्धि, सामग्री इंजेक्शन, विकृति, रीडायरेक्ट, SEO स्पैम और बैकडोर शामिल हैं।.

यहां तक कि कम-ट्रैफ़िक साइटों को स्वचालित स्कैनर या लक्षित हमलावरों द्वारा खोजा और शोषित किया जा सकता है।.

हमले का प्रवाह (उच्च स्तर)

1. हमलावर एक योगदानकर्ता खाता पंजीकृत करता है या प्राप्त करता है (या एक को समझौता करता है)।.
2. हमलावर प्लगइन के SVG विजेट या मीडिया अपलोडर के माध्यम से एक दुर्भावनापूर्ण SVG अपलोड करता है।.
3. प्लगइन SVG को स्टोर करता है और बाद में इसे खतरनाक सामग्री को हटाए बिना इनलाइन रेंडर करता है।.
4. एक विशेषाधिकार प्राप्त उपयोगकर्ता या एक आगंतुक पृष्ठ खोलता है; SVG में JavaScript निष्पादित होता है।.
5. हमलावर का स्क्रिप्ट दुर्भावनापूर्ण क्रियाएँ करता है (कुकी चोरी, सामग्री इंजेक्शन, व्यवस्थापक उपयोगकर्ताओं का निर्माण, अतिरिक्त पेलोड लोड करना)।.

आधुनिक ब्राउज़र सुरक्षा (SameSite, HttpOnly, CSP) कुछ पेलोड को कम कर सकती है, लेकिन XSS एक उच्च-जोखिम वर्ग बना रहता है।.

तात्कालिक कार्रवाई (पहले 6–24 घंटे)

1. अपडेट (सर्वश्रेष्ठ विकल्प)
   • तुरंत Elementor 8.5.0 या बाद के लिए Element Pack Addons स्थापित करें। यह अंतिम समाधान है।.
2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो शमन परतें लागू करें।
   • अपलोड को सीमित करें: योगदानकर्ताओं और समान निम्न-विशेषाधिकार भूमिकाओं से अस्थायी रूप से अपलोड क्षमता हटा दें।.
   • SVG अपलोड को अक्षम करें: WordPress या सर्वर स्तर पर SVG फ़ाइलों को ब्लॉक करें (MIME/एक्सटेंशन ब्लॉकिंग)।.
   • WAF आभासी पैचिंग: स्क्रिप्ट-जैसे निर्माण या संदिग्ध विशेषताओं वाले SVG अपलोड का पता लगाने और ब्लॉक करने के लिए नियम लागू करें।.
   • मीडिया पुस्तकालय ऑडिट: निम्न-विशेषाधिकार खातों द्वारा हाल ही में अपलोड किए गए SVG के लिए खोजें और अप्रत्याशित फ़ाइलें हटा दें।.
   • संपादक भूमिकाओं को सीमित करें: सुनिश्चित करें कि केवल विश्वसनीय उपयोगकर्ता अपलोड की गई SVG सामग्री को रेंडर करने वाले विजेट डाल सकते हैं।.
3. लॉग की निगरानी करें शोषण के संकेतों के लिए (संदिग्ध अपलोड, प्लगइन एंडपॉइंट्स पर POST, नए व्यवस्थापक उपयोगकर्ता)।.

पहले अपडेट करें; अन्य शमन अस्थायी हैं लेकिन महत्वपूर्ण हैं यदि आप तुरंत पैच नहीं कर सकते हैं।.

व्यावहारिक WAF और सर्वर नियम (सिफारिश की गई)

एप्लिकेशन तक पहुँचने से पहले दुर्भावनापूर्ण SVG को रोकने के लिए WAF या सर्वर-साइड जांच का उपयोग करें। झूठे सकारात्मक को कम करने के लिए अपने वातावरण के अनुसार पैटर्न और परीक्षण थ्रेशोल्ड को अनुकूलित करें।.

• स्क्रिप्ट या इवेंट विशेषताओं वाले SVG अपलोड को ब्लॉक करें:

  .svg फ़ाइल नामों या Content-Type image/svg+xml से मेल खाएं और यदि पेलोड का पहला भाग ऐसे स्ट्रिंग्स को शामिल करता है तो अस्वीकार करें 9. या विशेषताओं जैसे onload=, 11. साइट मालिकों के लिए तात्कालिक कदम, त्रुटि होने पर=, जावास्क्रिप्ट:, <!CDATA[, या संदिग्ध xlink पैटर्न।.

• प्रतिक्रियाओं का निरीक्षण करें: उन HTML प्रतिक्रियाओं पर अलर्ट करें जो इनलाइन शामिल करती हैं <svg टैग जो शामिल करते हैं 9. या विशेषताओं जैसे onload= या पर* विशेषताएँ।.
• प्लगइन एंडपॉइंट्स की सुरक्षा करें: प्लगइन द्वारा विजेट डेटा या मीडिया मेटाडेटा को सहेजने के लिए उपयोग किए जाने वाले POST मार्गों के लिए निरीक्षण/ब्लॉकिंग जोड़ें।.
• अपलोड की दर सीमा: स्वचालित दुरुपयोग को कम करने के लिए निम्न-privilege खातों से अपलोड को थ्रॉटल करें।.
• पहली बार अपलोड को फ्लैग करें: यदि एक नए बनाए गए खाते द्वारा तुरंत SVG अपलोड किया जाता है, तो इसे ब्लॉक या समीक्षा के लिए फ्लैग करें।.

वैचारिक ModSecurity-शैली का नियम (सरल — उपयोग से पहले परीक्षण करें):

SecRule REQUEST_HEADERS:Content-Type "image/svg+xml" "phase:2,chain,deny,id:10001,msg:'इनलाइन स्क्रिप्ट के साथ SVG अपलोड को ब्लॉक करें'"

हमेशा नए नियमों को पहले पहचान मोड में चलाएं ताकि वैध कार्यप्रवाहों में बाधा न आए, विशेष रूप से यदि आपकी साइट इनलाइन SVGs का उपयोग करती है।.

सर्वर / .htaccess / nginx सिफारिशें

ब्राउज़रों को अपलोड किए गए SVGs को इनलाइन रेंडर करने से रोकें, उन्हें अपलोड निर्देशिका से इनलाइन सामग्री के रूप में सेवा देने के बजाय डाउनलोड करने के लिए मजबूर करें।.

Apache (.htaccess in wp-content/uploads) उदाहरण:

<FilesMatch "\.svg$">
  Header set Content-Disposition "attachment"
  Header set Content-Type "application/octet-stream"
</FilesMatch>

Nginx वैचारिक उदाहरण:

location ~* \.svg$ {

नोट: डाउनलोड को मजबूर करना इनलाइन रेंडरिंग को रोकता है और अपलोड किए गए SVGs से XSS को कम करता है, लेकिन यह वैध इनलाइन SVG उपयोग को भी तोड़ता है। यदि इनलाइन SVGs की आवश्यकता है, तो एक सैनिटाइज़र का उपयोग करें जो सर्वर-साइड पर स्क्रिप्ट और इवेंट विशेषताओं को हटाता है।.

वर्डप्रेस-स्तरीय उपाय

• SVG अपलोड समर्थन को अक्षम करें जहां संभव हो। असुरक्षित SVG अपलोड की अनुमति देने वाले प्लगइन्स को हटा दें जब तक कि आपके पास सैनिटाइजेशन न हो।.
• एक SVG सैनिटाइज़र का उपयोग करें यदि SVGs की आवश्यकता है। सुनिश्चित करें कि सैनिटाइजेशन स्क्रिप्ट, इवेंट हैंडलर्स, बाहरी संदर्भ और खतरनाक संस्थाओं को हटा देता है।.
• भूमिका क्षमताओं की समीक्षा करें — क्षमता का ऑडिट करें अपलोड_फाइल्स और इसे योगदानकर्ताओं से हटा दें जब तक कि यह बिल्कुल आवश्यक न हो।.
• अनफ़िल्टर्ड_html प्रतिबंधों को लागू करें — केवल विश्वसनीय प्रशासकों को अनफ़िल्टर्ड HTML की अनुमति दें।.
• सामग्री सुरक्षा नीति (CSP) लागू करें हेडर जहां व्यावहारिक हो, इंजेक्टेड स्क्रिप्ट्स के प्रभाव को कम करने के लिए (साइट की कार्यक्षमता को तोड़ने से बचने के लिए सावधानी से परीक्षण करें)।.

पहचान - क्या देखना है

• मीडिया लाइब्रेरी में नए या हाल के SVG फ़ाइलें जो कम-विशेषाधिकार या हाल ही में बनाए गए खातों द्वारा अपलोड की गई हैं।.
• पृष्ठों या विजेट्स में SVGs शामिल होने पर अप्रत्याशित परिवर्तन।.
• पृष्ठ लोड के बाद तीसरे पक्ष के डोमेन पर अप्रत्याशित कॉल दिखाने वाली ब्राउज़र कंसोल गतिविधि।.
• नए प्रशासनिक उपयोगकर्ता, इंजेक्टेड सामग्री, या स्पैम लिंक/रीडायरेक्ट।.
• सर्वर लॉग जो SVG पैटर्न से मेल खाने वाले XML पेलोड के साथ प्लगइन एंडपॉइंट्स पर POST दिखा रहे हैं।.
• WAF या IDS अलर्ट 9. या विशेषताओं जैसे onload= छवि अपलोड अनुरोधों के भीतर।.

संदिग्ध टैग के लिए फ़ाइल सिस्टम और डेटाबेस खोज चलाएँ (जैसे, <svg स्क्रिप्ट विशेषताओं के साथ, <script>, संदिग्ध base64 ब्लॉब) और हाल की उपयोगकर्ता गतिविधि का ऑडिट करें।.

घटना प्रतिक्रिया (यदि आप समझौता होने का संदेह करते हैं)

1. अलग करें और संरक्षित करें: साइट को रखरखाव मोड में डालें या अवरोधक WAF नियम लागू करें; विश्लेषण के लिए लॉग और बैकअप को संरक्षित करें।.
2. क्रेडेंशियल्स को घुमाएं: प्रशासकों, संपादकों और योगदानकर्ताओं के खातों के लिए पासवर्ड रीसेट करें; सक्रिय सत्रों को अमान्य करें।.
3. उपयोगकर्ताओं और सामग्री का ऑडिट करें: अज्ञात उपयोगकर्ताओं को हटा दें; इंजेक्टेड स्क्रिप्ट के लिए पोस्ट, पृष्ठ और विजेट विकल्पों का निरीक्षण करें।.
4. दुर्भावनापूर्ण कलाकृतियों को हटा दें: दुर्भावनापूर्ण SVGs और किसी भी इंजेक्टेड कोड को हटा दें। संदिग्ध टैग के लिए DB और फ़ाइल सिस्टम की खोज करें।.
5. साफ फ़ाइलें पुनर्स्थापित करें: यदि उपलब्ध हो, तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें और पुनः कनेक्ट करने से पहले प्लगइन्स/थीम को अपडेट करें।.
6. पुनर्मूल्यांकन करें और मजबूत करें: कमजोर प्लगइन को अपडेट करें, कोर को पैच करें, बैकडोर के लिए स्कैन करें और WAF/सर्वर नियम लागू करें।.
7. निगरानी करें: अवशिष्ट गतिविधि का पता लगाने के लिए 30-90 दिनों तक उच्च निगरानी जारी रखें।.

यदि साइट उपयोगकर्ता डेटा संग्रहीत करती है, तो स्थानीय नियमों के तहत लागू सूचना दायित्वों का पालन करें।.

उदाहरण पहचान चेकलिस्ट (ऑडिट अवधारणा)

इन जांचों को प्रशासक पहुंच के साथ चलाएं या अपने डेवलपर/होस्ट से सहायता मांगें:

• पिछले 90 दिनों के लिए मीडिया अपलोड का निर्यात करें और .svg फ़ाइलों और अपलोडरों की पहचान करें।.
• SVG सामग्री को स्कैन करें 9. या विशेषताओं जैसे onload=, 11. साइट मालिकों के लिए तात्कालिक कदम, त्रुटि होने पर=, जावास्क्रिप्ट: और मेल खाने वाले को चिह्नित करें।.
• पोस्ट, पोस्टमेटा और विजेट विकल्पों में खोजें <svg और आस-पास के HTML की समीक्षा करें।.
• संदिग्ध फ़ाइलों के समान समय सीमा के भीतर हाल के उपयोगकर्ता खातों और अपलोड की समीक्षा करें।.

दीर्घकालिक कठोरता सिफारिशें

• न्यूनतम विशेषाधिकार: प्रत्येक भूमिका को केवल आवश्यक क्षमताएँ दें। योगदानकर्ताओं को आमतौर पर मीडिया अपलोड नहीं करना चाहिए।.
• पैच प्रबंधन: WordPress कोर, थीम और प्लगइन्स को प्रबंधित अपडेट शेड्यूल पर रखें; पहले स्टेजिंग पर परीक्षण करें।.
• वर्चुअल पैचिंग: आधिकारिक विक्रेता फिक्स को लागू करते समय लक्षित WAF नियमों का उपयोग करें ताकि एक्सपोज़र विंडो को कम किया जा सके।.
• सामग्री की सफाई: संग्रहण से पहले SVGs, HTML फ़्रैगमेंट और अपलोड को साफ करें।.
• भूमिका और सत्र शासन: मजबूत पासवर्ड, विशेषाधिकार प्राप्त खातों के लिए दो-कारक प्रमाणीकरण, और सत्र नियंत्रण लागू करें।.
• लॉगिंग और निगरानी: लॉग को केंद्रीकृत करें और असामान्य गतिविधि (मास अपलोड, नए खाते जो तुरंत अपलोड करते हैं, व्यवस्थापक परिवर्तन) के लिए अलर्ट सक्षम करें।.
• आवधिक सुरक्षा ऑडिट: उत्पादन तैनाती से पहले तीसरे पक्ष के प्लगइन्स और थीम की समीक्षा करें।.
• बैकअप और पुनर्प्राप्ति: ऑफसाइट बैकअप बनाए रखें और नियमित रूप से पुनर्स्थापना का परीक्षण करें।.

WAF के माध्यम से आभासी पैचिंग क्यों महत्वपूर्ण है

जब संगतता परीक्षण, चरणबद्ध रोलआउट या संचालन संबंधी बाधाओं के कारण तत्काल विक्रेता पैचिंग संभव नहीं हो, तो WAF के साथ आभासी पैचिंग एक व्यावहारिक, अस्थायी नियंत्रण है। एक सही तरीके से कॉन्फ़िगर किया गया WAF कर सकता है:

• ज्ञात शोषण पैटर्न (उदाहरण के लिए, दुर्भावनापूर्ण SVG अपलोड) को रोकें इससे पहले कि वे एप्लिकेशन तक पहुँचें।.
• आधिकारिक फिक्स का परीक्षण और तैनाती करते समय हमले की सतह को कम करने के लिए प्लगइन एंडपॉइंट्स पर लक्षित नियम लागू करें।.
• प्रयास किए गए शोषण गतिविधि पर लॉग और अलर्ट करें ताकि आप प्रतिक्रिया और फोरेंसिक्स को प्राथमिकता दे सकें।.

आभासी पैचिंग विक्रेता फिक्स लागू करने का विकल्प नहीं है; यह पैच तैनात होने तक जोखिम को कम करने के लिए एक अंतरिम उपाय है।.

चेकलिस्ट: कार्य योजना जिसे आप अब अनुसरण कर सकते हैं

1. प्लगइन संस्करण जांचें: यदि Element Pack Addons for Elementor ≤ 8.4.2 है, तो तुरंत 8.5.0 या बाद में अपडेट करें।.
2. अपलोड को प्रतिबंधित करें: योगदानकर्ता और समान भूमिकाओं से अपलोड क्षमता हटा दें।.
3. मीडिया लाइब्रेरी स्कैन करें: अप्रत्याशित या अविश्वसनीय SVGs को हटा दें; यदि आवश्यक हो तो साफ़ किए गए संस्करणों के साथ बदलें।.
4. WAF नियम लागू करें: SVGs को ब्लॉक करें जिसमें 9. या विशेषताओं जैसे onload= या पर* विशेषताएँ; विजेट POST एंडपॉइंट्स का निरीक्षण करें।.
5. सर्वर को मजबूत करें: अपलोड फ़ोल्डर से SVG डाउनलोड करने के लिए मजबूर करें या अपलोड से SVG रेंडरिंग को अस्वीकार करें।.
6. उपयोगकर्ताओं का ऑडिट करें: नए या समझौता किए गए खातों की जांच करें और क्रेडेंशियल्स को बदलें।.
7. लॉग और अलर्ट की निगरानी करें: शोषण के प्रयासों और प्लगइन रूट्स पर असामान्य POSTs के लिए देखें।.
8. निरंतर सुरक्षा की योजना बनाएं: पैच की आवृत्ति, भूमिका ऑडिट और सामग्री की सफाई लागू करें।.