Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक चेतावनी कलेक्टचैट में क्रॉस साइट स्क्रिप्टिंग (CVE20260736)

वर्डप्रेस कलेक्टचैट प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0
प्लगइन का नाम collectchat
कमजोरियों का प्रकार XSS
CVE संख्या CVE-2026-0736
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2026-02-13
स्रोत URL CVE-2026-0736

तत्काल: Collectchat स्टोर की गई XSS (CVE-2026-0736) आपके वर्डप्रेस साइट के लिए क्या अर्थ रखती है

तारीख: 2026-02-13   |   लेखक: हांगकांग सुरक्षा विशेषज्ञ

सारांश

एक स्टोर की गई क्रॉस-साइट स्क्रिप्टिंग भेद्यता (CVE-2026-0736) जो collectchat वर्डप्रेस प्लगइन (संस्करण ≤ 2.4.8) को प्रभावित करती है, का खुलासा किया गया है। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार हैं, एक पोस्ट मेटा फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट स्टोर कर सकता है जो बाद में एक व्यवस्थापक या एक फ्रंटेंड विज़िटर के संदर्भ में निष्पादित हो सकता है। हालांकि, खुलासा की गई गंभीरता को कम बताया गया है और इसके लिए प्रमाणित उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है, स्टोर की गई XSS को तुरंत संभाले बिना पूर्ण साइट समझौते में बढ़ाया जा सकता है।.

मैं एक हांगकांग सुरक्षा प्रैक्टिशनर के रूप में स्पष्ट, क्रियाशील मार्गदर्शन प्रदान करने के लिए लिखता हूं: भेद्यता कैसे काम करती है, वास्तविक प्रभाव परिदृश्य, पहचान तकनीक, तत्काल रोकथाम के कदम जो आप अभी ले सकते हैं, और सुरक्षित डेवलपर फिक्स। यह साइट के मालिकों, डेवलपर्स और घटना प्रतिक्रिया करने वालों के लिए है जिन्हें तुरंत कार्रवाई करने के लिए कदमों की आवश्यकता है।.

क्या हुआ (साधारण भाषा)

  • collectchat प्लगइन डेटा को एक पोस्ट मेटा फ़ील्ड में पर्याप्त सफाई के बिना सहेजता है।.
  • एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता भूमिका है, उस मेटा फ़ील्ड में HTML/JavaScript डाल सकता है।.
  • प्लगइन बाद में उस मेटा फ़ील्ड को एक संदर्भ में आउटपुट करता है जहां मान को HTML के रूप में प्रस्तुत किया जाता है (या सही तरीके से एस्केप नहीं किया जाता है), जिससे स्टोर की गई स्क्रिप्ट तब निष्पादित होती है जब एक व्यवस्थापक या विज़िटर पृष्ठ या व्यवस्थापक स्क्रीन को देखता है।.
  • स्टोर की गई XSS स्थायी है: इंजेक्टेड पेलोड डेटाबेस में रहते हैं और समय के साथ कई उपयोगकर्ताओं को प्रभावित कर सकते हैं।.

महत्वपूर्ण संदर्भ: शोषण के लिए पेलोड रखने के लिए एक योगदानकर्ता खाता आवश्यक है। कई साइटें उपयोगकर्ता पंजीकरण की अनुमति देती हैं या ठेकेदारों या अतिथि लेखकों के लिए योगदानकर्ता खातों का उपयोग करती हैं - इसलिए हमले की सतह तुच्छ नहीं है।.

तकनीकी विश्लेषण: पोस्ट_meta के माध्यम से स्टोर की गई XSS कैसे काम करती है

  1. An attacker creates or controls a Contributor account and inserts HTML/JavaScript into a post meta field (for example,