प्लगइन का नाम	स्पीयर प्रबंधक
कमजोरियों का प्रकार	क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या	CVE-2026-1905
तात्कालिकता	कम
CVE प्रकाशन तिथि	2026-02-13
स्रोत URL	CVE-2026-1905

CVE‑2026‑1905 — प्रमाणित (योगदानकर्ता) संग्रहीत XSS “स्पीयर प्रबंधक” वर्डप्रेस प्लगइन में: इसका क्या मतलब है और आपको क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ | दिनांक: 2026-02-13 | श्रेणियाँ: वर्डप्रेस सुरक्षा, कमजोरियाँ, घटना प्रतिक्रिया

सारांश: स्पीयर प्रबंधक (संस्करण <= 1.0.2) को प्रभावित करने वाली एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरी को CVE‑2026‑1905 सौंपा गया। यह योगदानकर्ता विशेषाधिकारों के साथ एक प्रमाणित उपयोगकर्ता को शॉर्टकोड विशेषताओं (जो चौड़ाई विशेषता) को तैयार करने की अनुमति देता है जो मनमाना HTML/JavaScript इंजेक्ट करता है। यह लेख तकनीकी विवरण, पहचान प्रश्न, आपातकालीन शमन (जिसमें एक MU‑प्लगइन शामिल है जिसे आप जल्दी से छोड़ सकते हैं), और आपकी साइट की प्रतिक्रिया और मजबूत करने के लिए व्यावहारिक सलाह प्रदान करता है।.

सामग्री की तालिका

क्या हुआ (संक्षेप में)
तकनीकी विश्लेषण: यह सुरक्षा कमजोरी कैसे काम करती है
योगदानकर्ता आपके विचार से अधिक जोखिम भरे क्यों हैं
वास्तविक दुनिया का प्रभाव और शोषण परिदृश्य
कैसे पता करें कि आपकी साइट प्रभावित है (प्रश्न और आदेश)
आपातकालीन प्रतिक्रिया योजना (चरण-दर-चरण)
व्यावहारिक अस्थायी समाधान (वर्चुअल पैचिंग और mu‑प्लगइन)
डेवलपर्स के लिए अनुशंसित स्थायी शमन
WAF नियम और हस्ताक्षर जिन्हें आप तुरंत लागू कर सकते हैं
पुनर्प्राप्ति और घटना के बाद की मजबूती
परिशिष्ट: कोड स्निप्पेट, SQL, WP‑CLI, और ModSecurity नियम उदाहरण

क्या हुआ (संक्षेप में)

स्पीयर प्रबंधक प्लगइन (संस्करण <= 1.0.2) में एक संग्रहीत XSS मौजूद है। प्लगइन एक शॉर्टकोड पंजीकृत करता है जो एक चौड़ाई विशेषता को स्वीकार करता है। विशेषता मान को उचित रूप से साफ या एस्केप नहीं किया जाता है, जो एक प्रमाणित उपयोगकर्ता को योगदानकर्ता विशेषाधिकारों के साथ विशेषता के अंदर HTML या JavaScript शामिल करने की अनुमति देता है (उदाहरण के लिए, एम्बेडेड <script> या इवेंट हैंडलर्स जैसे लोड होने पर/माउस ओवर पर)। जब इस शॉर्टकोड वाला एक पृष्ठ प्रस्तुत किया जाता है, तो दुर्भावनापूर्ण स्क्रिप्ट किसी भी आगंतुक के ब्राउज़र में निष्पादित होती है — जिसमें संपादक और प्रशासक शामिल हैं — कुकी चोरी, सत्र अपहरण, या पीड़ित की साइट के संदर्भ में अन्य क्रियाओं को सक्षम करती है।.

CVE संदर्भ: CVE‑2026‑1905।.

तकनीकी विश्लेषण: यह सुरक्षा कमजोरी कैसे काम करती है

1. शॉर्टकोड संरचित विशेषताओं को स्वीकार करते हैं और HTML को रेंडर करते हैं; जब विशेषता मान सीधे अविश्वसनीय उपयोगकर्ताओं से लिए जाते हैं और उचित सत्यापन/एस्केपिंग के बिना इको किए जाते हैं, तो XSS संभव है।.

2. शॉर्टकोड नाम: प्लगइन द्वारा पंजीकृत (जैसे।. 3. [sphere ...])
कमजोर विशेषता: चौड़ाई
4. संवेदनशील संस्करण: <= 1.0.2
आवश्यक विशेषाधिकार: योगदानकर्ता
भेद्यता वर्ग: संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)

5. प्लगइन HTML/CSS संदर्भ में विशेषता मान को पर्याप्त सफाई के बिना प्रिंट करता है। एक हमलावर मानों को इस तरह से तैयार कर सकता है चौड़ाई 6. "> "7. या इवेंट विशेषताओं को शामिल करें ( 8. URI। यदि विशेषता को बिना एस्केप किए इको किया जाता है, तो ब्राउज़र इंजेक्टेड मार्कअप को पार्स और निष्पादित करेगा।त्रुटि पर, लोड होने पर) या जावास्क्रिप्ट: 9. साइट के मालिक अक्सर मानते हैं कि योगदानकर्ता हानिरहित होते हैं क्योंकि वे प्लगइन स्थापित या प्रकाशित नहीं कर सकते। यह एक अधूरा दृष्टिकोण है:.

उदाहरण (संकल्पनात्मक):

[गेंद width="100">

योगदानकर्ता आपके विचार से अधिक जोखिम भरे क्यों हैं

10. योगदानकर्ता सामग्री बना सकते हैं जिसे संपादकों या प्रशासकों द्वारा पूर्वावलोकन किया जाता है; पूर्वावलोकन एक प्रशासक के ब्राउज़र में स्क्रिप्ट को निष्पादित कर सकते हैं।

11. योगदानकर्ता की सामग्री को अन्य प्लगइनों, विजेट्स या टेम्पलेट भागों द्वारा संसाधित किया जा सकता है जो कॉल करते हैं.
12. या अन्यथा विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए दृश्य संदर्भों में सामग्री को रेंडर करते हैं। do_shortcode() 13. शॉर्टकोड और उपयोगकर्ता-जनित विशेषताएँ कई स्थानों (विजेट्स, प्रोफ़ाइल पृष्ठ, कस्टम ब्लॉक्स) में प्रकट हो सकती हैं, जिससे हमले की सतह का विस्तार होता है।.
14. एक योगदानकर्ता पहुंच वाला हमलावर पेलोड को दोहराने और सामाजिक इंजीनियरिंग का प्रयास कर सकता है ताकि एक प्रशासक एक तैयार लिंक या पूर्वावलोकन खोले।.
15. प्रशासनिक सत्र चोरी के माध्यम से साइट पर कब्जा.

वास्तविक दुनिया का प्रभाव और शोषण परिदृश्य

16. दुर्भावनापूर्ण स्क्रिप्ट कुकीज़ चुरा सकती हैं या प्रशासक खातों या सेटिंग्स को संशोधित करने के लिए CSRF क्रियाएँ ट्रिगर कर सकती हैं।
17. स्थायी मैलवेयर वितरण.
18. इंजेक्टेड पेलोड विजिटर्स को रीडायरेक्ट कर सकते हैं, दुर्भावनापूर्ण JS प्रदान कर सकते हैं, या SEO-नुकसानदायक सामग्री डाल सकते हैं।
19. हमलावर संक्रमित पृष्ठों पर प्रशासकों के दौरे के दौरान नकली प्रशासक लॉगिन फ़ॉर्म प्रस्तुत कर सकते हैं।.
फ़िशिंग और प्रमाणपत्र संग्रहण
हमलावर संक्रमित पृष्ठों पर प्रशासकों के जाने पर नकली प्रशासक लॉगिन फ़ॉर्म प्रस्तुत कर सकते हैं।.
सामग्री और प्रतिष्ठा क्षति
स्पैम, विज्ञापन, या विकृति उपयोगकर्ता विश्वास और खोज रैंकिंग को नुकसान पहुँचाते हैं।.
पार्श्व हमले
API टोकन को निकालें या साइट से सुलभ एकीकृत सेवाओं के साथ इंटरैक्ट करें।.

यह कैसे पता करें कि आपकी साइट प्रभावित है

आपको सामग्री और प्लगइन कोड दोनों को स्कैन करना चाहिए। व्यावहारिक पहचान कदम आगे हैं।.

1) शॉर्टकोड के लिए पोस्ट सामग्री की खोज करें जिसमें `चौड़ाई=` और संदिग्ध वर्ण

SQL (phpMyAdmin या WP‑CLI):

SELECT ID, post_title, post_type, post_status;

संदिग्ध पेलोड (टैग या पर* विशेषताएँ) खोजने के लिए:

SELECT ID, post_title;

WP‑CLI दृष्टिकोण (शेल):

# 'width=' के साथ स्पीयर शॉर्टकोड के अंदर पोस्ट खोजें'

या यदि आपके पास बैकअप या निर्यात हैं तो एक फ़ाइल प्रणाली grep:

grep -R --line-number '\[sphere[^]]*width=' wp-content/

2) <script या इवेंट हैंडलर्स के लिए डेटाबेस खोजें

SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%' OR post_content LIKE '%onerror=%';

3) उपयोगकर्ता गतिविधि की जांच करें: हाल की संपादनों के साथ योगदानकर्ता खातों को खोजें

SELECT ID, user_login, user_email;

क्रॉस-मैप पोस्ट_लेखक में wp_posts इन उपयोगकर्ताओं के लिए।.

4) दुर्भावनापूर्ण फ़ाइलों और इंजेक्टेड कोड के लिए स्कैन करें

एक मैलवेयर स्कैनर या कोड इंटीग्रिटी चेक करने वाला चलाएँ। निरीक्षण करें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं। अप्रत्याशित PHP फ़ाइलों या अज्ञात फ़ाइलों के लिए जो बैकडोर हो सकती हैं।.

5) सर्वर लॉग

संदिग्ध प्रशासन पूर्वावलोकन अनुरोधों, POSTs के लिए एक्सेस लॉग की जांच करें /wp-admin/post.php जो पेलोड्स को शामिल करते हैं, या योगदानकर्ता खातों से जुड़े असामान्य IPs।.

आपातकालीन प्रतिक्रिया योजना (चरण-दर-चरण)

साइट को रखरखाव मोड में डालें — जब आप प्राथमिकता तय करें तो जोखिम को कम करें।.
एक पूर्ण बैकअप बनाएं (फ़ाइलें + DB) किसी भी फोरेंसिक उद्देश्यों के लिए किसी भी सफाई से पहले।.
क्रेडेंशियल्स को घुमाएं — सभी प्रशासनिक उपयोगकर्ताओं के लिए पासवर्ड रीसेट करने के लिए मजबूर करें; योगदानकर्ता पासवर्ड रीसेट करने पर विचार करें और सक्रिय सत्रों को अमान्य करें।.
कमजोर प्लगइन को हटा दें या निष्क्रिय करें। — एक सुरक्षित अपडेट उपलब्ध होने तक Sphere Manager को निष्क्रिय करें। यदि निष्क्रियता साइट को तोड़ने का जोखिम उठाती है, तो न्यूनतम शॉर्टकोड प्रोसेसिंग को रोकें (अस्थायी सुधार देखें)।.
दुर्भावनापूर्ण सामग्री को साफ करें — दुर्भावनापूर्ण शॉर्टकोड की पहचान और हटाने के लिए उपरोक्त SQL और WP-CLI क्वेरी का उपयोग करें या विशेषताओं को साफ करें।.
बैकडोर को स्कैन और हटाएँ — इंजेक्टेड PHP फ़ाइलों, अज्ञात प्रशासनिक उपयोगकर्ताओं, या बागी अनुसूचित घटनाओं की जांच करें।.
लॉग और ट्रैफ़िक की निगरानी करें — संदिग्ध POSTs, स्पाइक्स, या नए पंजीकरणों पर नज़र रखें।.
अस्थायी सर्वर/WAF नियम लागू करें — संदिग्ध पैटर्न वाले प्रशासनिक एंडपॉइंट्स पर POSTs को ब्लॉक करें (नीचे उदाहरण)।.
दस्तावेज़ बनाएं और संवाद करें — की गई क्रियाओं को रिकॉर्ड करें और आवश्यकतानुसार हितधारकों को सूचित करें।.

व्यावहारिक अस्थायी समाधान (वर्चुअल पैचिंग और mu‑प्लगइन)

यदि कोई आधिकारिक पैच अभी उपलब्ध नहीं है, तो इनमें से एक या अधिक उपायों का उपयोग करें।.

A) एक MU‑प्लगइन के माध्यम से शॉर्टकोड को अक्षम या साफ करें (तेज, कम जोखिम)

निम्नलिखित को एक MU‑प्लगइन फ़ाइल के रूप में डालें wp-content/mu-plugins/shortcode-mitigate.php. यह रैपर एक सख्त चौड़ाई नीति लागू करता है और यदि संभव हो तो मूल व्यवहार को बनाए रखने का प्रयास करता है।.

&lt;?php

नोट्स:

यह एक MU‑प्लगइन के रूप में चलता है (नियमित प्लगइनों से पहले लोड होता है) और गैर-व्यवस्थापकों के लिए इसे हटाना कठिन है।.
रैपर केवल चौड़ाई अंकों और प्रतिशत चिह्न को साफ करता है, और सामग्री को साफ करता है wp_kses_post().

B) रेंडर समय पर `चौड़ाई` विशेषताओं को हटा दें

यदि आप समस्याग्रस्त विशेषता को पूरी तरह से हटाना चाहते हैं, तो एक सामग्री फ़िल्टर जोड़ें जो हटा देता है चौड़ाई के अंदर [sphere] शॉर्टकोड:

add_filter( 'the_content', function( $content ) {;

C) सर्वर/WAF नियम (संदिग्ध पोस्ट अपडेट को ब्लॉक करें)

यदि आप सर्वर का प्रबंधन करते हैं या आपके पास एक WAF है, तो खतरनाक चौड़ाई पैटर्न वाले POST सबमिशन को ब्लॉक करने के लिए एक अस्थायी नियम जोड़ें। उदाहरण ModSecurity-शैली का वैकल्पिक नियम:

SecRule REQUEST_URI "@beginsWith /wp-admin/post.php" \


Test rules carefully to avoid false positives and service disruption.
D) Prevent shortcode processing for Contributor users
Conditionally prevent shortcodes from being processed for content authored by low‑privileged users. This is more advanced but reduces risk while workflow remains intact for higher‑privilege authors.
Recommended permanent mitigations for developers

Validate attributes by data type — cast or strictly validate width to integers or percent values.
Escape on output — use esc_attr(), esc_html() where appropriate.
Use wp_kses() or wp_kses_post() when accepting HTML from users.
Do not trust input from low‑privileged roles — check capabilities before processing sensitive shortcodes.
Use nonces and permission checks for front‑end actions that modify state.
Expose filters for attribute sanitization so site owners can harden behavior without changing plugin code.
Escape all attributes and content before rendering, e.g. echo '<div style="width:' . esc_attr( $width ) . ';">' . wp_kses_post( $content ) . '</div>';

WAF rules and signatures you can apply right now
A Web Application Firewall or server‑level rules can provide virtual patching while upstream fixes are deployed. Suggested patterns:

Block width attribute values containing HTML tags or event handlers
width\s*=\s*"(?:[^"]*(?:<[^>]+>|on[a-zA-Z]+=|javascript:)[^"]*)"

Block attempts to inject <script> in POST payloads
(<script\b[^>]*>.*?</script>|on\w+\s*=|javascript\s*:)

Protect POSTs to admin endpoints — conditionally block submissions to /wp-admin/post.php or /wp-admin/post-new.php when payloads contain suspicious width attributes.
Outbound sanitization (virtual patch) — as a last resort, strip unsafe width attributes from rendered HTML before it leaves the server.

Example ModSecurity snippet (conceptual):
SecRule REQUEST_METHOD "POST" \
  "phase:2,chain,deny,status:403,msg:'Blocked suspicious shortcode width attribute'"
SecRule ARGS_POST "(?i)width\s*=\s*\"[^\"]*(<script|on[a-z]+=|javascript:)[^\"]*\"" "t:none"
Always test rules in staging and tune patterns to avoid blocking legitimate content.
Recovery and post‑incident hardening

Ensure the vulnerable plugin is updated or replaced.
Remove MU‑plugin mitigations only after the official fix is tested and deployed.
Audit Contributor accounts: remove unused ones, enforce strong passwords, and consider 2FA for higher privileges.
Enforce moderation workflows so contributor content is reviewed before rendering live.
Harden admin access: IP restrictions, 2FA, and limiting wp-admin exposure where practical.
Maintain regular backups and test restores.
Schedule continuous scanning and integrity checks.
Rotate API keys if they could have been accessed from an admin context.

Appendix — Useful detection & remediation snippets
A) WP‑CLI: List posts containing suspicious sphere shortcodes
# List post IDs that likely contain sphere shortcodes with width attributes
wp post list --post_type='post,page' --format=csv --fields=ID,post_title | while IFS=, read ID TITLE; do
  content=$(wp post get $ID --field=post_content)
  if echo "$content" | grep -qE '\[sphere[^]]*width='; then
    echo "Possible match: $ID - $TITLE"
  fi
done
B) SQL to remove width="..." inside shortcodes (dangerous; backup first)
UPDATE wp_posts
SET post_content = REGEXP_REPLACE(post_content, '\\[sphere([^\\]]*)\\swidth\\s*=\\s*("|\') [^"\\']* \\1([^\\]]*)\\]', '[sphere\\1\\3]')
WHERE post_content REGEXP '\\[sphere[^\\]]*\\swidth\\s*=\\s*("|\')';
Test on staging. This is a blunt approach and may have edge cases.
C) Code snippet to sanitize width (for plugin authors)
// Use strict validation - allow only integer or percentage
function sphere_sanitize_width( $value ) {
    $value = trim( $value );
    if ( preg_match( '/^\d+%?$/', $value ) ) {
        return $value;
    }
    return '100%';
}

// Usage in shortcode handler:
$width = isset( $atts['width'] ) ? sphere_sanitize_width( $atts['width'] ) : '100%';
echo '<div style="width: ' . esc_attr( $width ) . ';">' . wp_kses_post( $content ) . '</div>';
D) Example ModSecurity rule (conceptual)
# Block POSTs that contain script tags or event handlers inside width attribute
SecRule REQUEST_METHOD "POST" "phase:2,deny,log,status:403,msg:'Blocked suspicious width attribute payload'"
SecRule ARGS_POST "(?i)width\s*=\s*\"[^\"]*(<script|on[a-z]+=|javascript:)[^\"]*\"" "t:none"
Final checklist

If you use the Sphere Manager plugin and cannot immediately apply a secure update, deactivate the plugin or deploy the MU‑plugin mitigation above.
Run the detection queries in this article and clean or remove any posts that contain suspicious width payloads.
Implement server rules or WAF signatures that block POSTs or content with width attributes containing HTML/script patterns.
Reconsider Contributor workflows: enforce moderation and thorough review of Contributor submissions.
If in doubt, engage a trusted security consultant for incident response and tailored virtual patch rules.

If you require assistance with triage, cleanup, or crafting site‑specific mitigations and WAF rules, seek an experienced security practitioner who can assess your environment and apply targeted fixes safely.

This advisory is written from the perspective of a Hong Kong security expert and is intended for site owners, developers and administrators managing WordPress installations. The guidance here is technical and prescriptive; test any changes in a staging environment before applying to production.

वर्डप्रेस स्पीयर प्रबंधक में सामुदायिक सलाहकार XSS (CVE20261905)

सामग्री की तालिका

क्या हुआ (संक्षेप में)

तकनीकी विश्लेषण: यह सुरक्षा कमजोरी कैसे काम करती है

योगदानकर्ता आपके विचार से अधिक जोखिम भरे क्यों हैं

वास्तविक दुनिया का प्रभाव और शोषण परिदृश्य

यह कैसे पता करें कि आपकी साइट प्रभावित है

1) शॉर्टकोड के लिए पोस्ट सामग्री की खोज करें जिसमें `चौड़ाई=` और संदिग्ध वर्ण

2) <script या इवेंट हैंडलर्स के लिए डेटाबेस खोजें

3) उपयोगकर्ता गतिविधि की जांच करें: हाल की संपादनों के साथ योगदानकर्ता खातों को खोजें

4) दुर्भावनापूर्ण फ़ाइलों और इंजेक्टेड कोड के लिए स्कैन करें

5) सर्वर लॉग

आपातकालीन प्रतिक्रिया योजना (चरण-दर-चरण)

व्यावहारिक अस्थायी समाधान (वर्चुअल पैचिंग और mu‑प्लगइन)

A) एक MU‑प्लगइन के माध्यम से शॉर्टकोड को अक्षम या साफ करें (तेज, कम जोखिम)

B) रेंडर समय पर `चौड़ाई` विशेषताओं को हटा दें

C) सर्वर/WAF नियम (संदिग्ध पोस्ट अपडेट को ब्लॉक करें)

D) Prevent shortcode processing for Contributor users

Recommended permanent mitigations for developers

WAF rules and signatures you can apply right now

Recovery and post‑incident hardening

Appendix — Useful detection & remediation snippets

A) WP‑CLI: List posts containing suspicious sphere shortcodes

B) SQL to remove `width="..."` inside shortcodes (dangerous; backup first)

C) Code snippet to sanitize width (for plugin authors)

D) Example ModSecurity rule (conceptual)

Final checklist

टैग:

WP Security Vulnerability Report

Community Security Advisory MailChimp Campaigns Vulnerability(CVE20261303)

Hong Kong Security Advisory MasterStudy XSS(CVE20260559)

Hong Kong Community Alert XSS in Shortcodes(CVE202562111)

Hong Kong Security Alert XSS in WordPress(CVE20261912)

Community Advisory WordPress Geo Mashup SQL Injection(CVE20262416)

Community Security Advisory PeachPay SQL Injection(CVE20259463)

Community Alert Broken Access Controls Bike Rental(CVE202514065)

Hong Kong Security Advisory Divelogs Widget XSS(CVE202513962)

वर्डप्रेस स्पीयर प्रबंधक में सामुदायिक सलाहकार XSS (CVE20261905)

सामग्री की तालिका

क्या हुआ (संक्षेप में)

तकनीकी विश्लेषण: यह सुरक्षा कमजोरी कैसे काम करती है

योगदानकर्ता आपके विचार से अधिक जोखिम भरे क्यों हैं

वास्तविक दुनिया का प्रभाव और शोषण परिदृश्य

यह कैसे पता करें कि आपकी साइट प्रभावित है

1) शॉर्टकोड के लिए पोस्ट सामग्री की खोज करें जिसमें चौड़ाई= और संदिग्ध वर्ण

2) <script या इवेंट हैंडलर्स के लिए डेटाबेस खोजें

3) उपयोगकर्ता गतिविधि की जांच करें: हाल की संपादनों के साथ योगदानकर्ता खातों को खोजें

4) दुर्भावनापूर्ण फ़ाइलों और इंजेक्टेड कोड के लिए स्कैन करें

5) सर्वर लॉग

आपातकालीन प्रतिक्रिया योजना (चरण-दर-चरण)

व्यावहारिक अस्थायी समाधान (वर्चुअल पैचिंग और mu‑प्लगइन)

A) एक MU‑प्लगइन के माध्यम से शॉर्टकोड को अक्षम या साफ करें (तेज, कम जोखिम)

B) रेंडर समय पर चौड़ाई विशेषताओं को हटा दें

C) सर्वर/WAF नियम (संदिग्ध पोस्ट अपडेट को ब्लॉक करें)

D) Prevent shortcode processing for Contributor users

Recommended permanent mitigations for developers

WAF rules and signatures you can apply right now

Recovery and post‑incident hardening

Appendix — Useful detection & remediation snippets

A) WP‑CLI: List posts containing suspicious sphere shortcodes

B) SQL to remove width="..." inside shortcodes (dangerous; backup first)

C) Code snippet to sanitize width (for plugin authors)

D) Example ModSecurity rule (conceptual)

Final checklist

टैग:

WP Security Vulnerability Report

Community Security Advisory MailChimp Campaigns Vulnerability(CVE20261303)

Hong Kong Security Advisory MasterStudy XSS(CVE20260559)

आपको यह भी पसंद आ सकता है

1) शॉर्टकोड के लिए पोस्ट सामग्री की खोज करें जिसमें `चौड़ाई=` और संदिग्ध वर्ण

B) रेंडर समय पर `चौड़ाई` विशेषताओं को हटा दें

B) SQL to remove `width="..."` inside shortcodes (dangerous; backup first)