TL;DR
वर्डप्रेस प्लगइन “एनामद के लिए लोगो प्रबंधक” (संस्करण ≤ 0.7.4) में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) की एक भेद्यता (CVE-2026-6549) एक प्रमाणित योगदानकर्ता को HTML/JavaScript इंजेक्ट करने की अनुमति देती है जो उच्च-privileged उपयोगकर्ताओं द्वारा डेटा देखने पर स्थायी और निष्पादित हो सकती है। CVSS: 6.5। यदि यह प्लगइन स्थापित है, तो नीचे दिए गए तात्कालिक शमन और सुधारात्मक कदमों का पालन करें। यदि आप तुरंत प्लगइन को अपडेट या हटा नहीं सकते हैं, तो परिधि पर वर्चुअल पैचिंग पर विचार करें।.

यह क्यों महत्वपूर्ण है (संक्षिप्त, व्यावहारिक व्याख्या)

संग्रहीत XSS अक्सर वर्डप्रेस साइटों पर दुरुपयोग किया जाता है। इस मुद्दे का व्यावहारिक प्रभाव:

• एक प्रमाणित योगदानकर्ता प्लगइन-प्रबंधित डेटा (उदाहरण के लिए, लोगो मेटा या विवरण फ़ील्ड) में एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है।.
• दुर्भावनापूर्ण स्क्रिप्ट डेटाबेस में संग्रहीत होती है (संग्रहीत XSS)।.
• जब एक व्यवस्थापक, संपादक या अन्य विशेषाधिकार प्राप्त उपयोगकर्ता संक्रमित क्षेत्र को देखते हैं, तो स्क्रिप्ट उनके ब्राउज़र में निष्पादित होती है।.
• परिणामों में सत्र चोरी, जाली प्रशासनिक अनुरोध, बैकडोर का निर्माण, या व्यापक साइट समझौता शामिल हैं।.

कई साइटें योगदानकर्ता पंजीकरण की अनुमति देती हैं या योगदानकर्ता प्रस्तुतियों को स्वीकार करती हैं, जिससे यह एक वास्तविक खतरा बनता है, भले ही प्रारंभिक हमलावर को प्रमाणित होना चाहिए।.

मुख्य तथ्य

• प्रभावित प्लगइन: एनामद के लिए लोगो प्रबंधक
• संवेदनशील संस्करण: ≤ 0.7.4
• भेद्यता प्रकार: स्टोर किया गया क्रॉस-साइट स्क्रिप्टिंग (XSS)
• आवश्यक विशेषाधिकार: योगदानकर्ता (प्रमाणित)
• CVE: CVE-2026-6549
• CVSS आधार स्कोर: 6.5 (मध्यम)
• पैच स्थिति: सार्वजनिक प्रकटीकरण के समय कोई आधिकारिक पैच उपलब्ध नहीं है
• शोषण जटिलता: उपयोगकर्ता इंटरैक्शन / विशेषाधिकार प्राप्त उपयोगकर्ता दृश्य की आवश्यकता होती है

यथार्थवादी हमले के परिदृश्य

1. प्लगइन द्वारा प्रबंधित फ़ील्ड HTML स्वीकार करते हैं जो ठीक से एस्केप या मान्य नहीं किया गया है। एक दुर्भावनापूर्ण योगदानकर्ता एक लोगो अपलोड करता है या एक तैयार की गई स्ट्रिंग दर्ज करता है जिसमें
   मेरा ऑर्डर देखें

   0

   उप-योग

   चेकआउट पर कर और शिपिंग की गणना की गई

   चेकआउट