Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक चेतावनी वर्डप्रेस फॉर्म मेकर XSS(CVE20261065)

10Web प्लगइन द्वारा वर्डप्रेस फॉर्म मेकर में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0






Cross‑Site Scripting (CVE‑2026‑1065) in Form Maker by 10Web — What WordPress Site Owners Must Do Now


प्लगइन का नाम 10Web द्वारा WordPress फ़ॉर्म मेकर
कमजोरियों का प्रकार क्रॉस साइट स्क्रिप्टिंग
CVE संख्या CVE-2026-1065
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2026-02-08
स्रोत URL CVE-2026-1065

10Web द्वारा फ़ॉर्म मेकर में क्रॉस-साइट स्क्रिप्टिंग (CVE-2026-1065) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

दिनांक: 2026-02-06 · लेखक: हांगकांग सुरक्षा विशेषज्ञ

फ़ॉर्म मेकर में SVG अपलोड के माध्यम से अप्रमाणित संग्रहीत XSS (<=1.15.35) को CVE-2026-1065 के रूप में प्रकाशित किया गया था। यह पोस्ट जोखिम, हमलावरों द्वारा SVG अपलोड हैंडलिंग का दुरुपयोग कैसे किया जा सकता है, शोषण का पता कैसे लगाया जाए, और एक विस्तृत शमन और पुनर्प्राप्ति चेकलिस्ट समझाती है।.

यह सुरक्षा दोष क्यों महत्वपूर्ण है

Stored Cross‑Site Scripting (XSS) is a high‑impact client‑side vulnerability. In this case, unauthenticated attackers could upload crafted SVG files that persist on the site and execute JavaScript when rendered by visitors’ browsers. Because the vuln is unauthenticated, the attacker does not need a user account — only the ability to reach the vulnerable upload endpoint.

संभावित परिणामों में शामिल हैं:

  • प्रमाणित कुकीज़ और सत्र टोकन की चोरी (जिससे विशेषाधिकार वृद्धि होती है);
  • यदि प्रशासक संक्रमित पृष्ठों को देखते हैं तो चुपचाप प्रशासनिक खाता अधिग्रहण;
  • स्थायी सामग्री इंजेक्शन (फिशिंग, विकृति, विज्ञापन सम्मिलन);
  • साइट आगंतुकों को ड्राइव-बाय मैलवेयर वितरण;
  • Exfiltration of data accessible in a user’s browser (form entries, contact data);
  • प्रतिष्ठा को नुकसान और SEO दंड।.

SVG XML हैं और इनमें शामिल हो सकते हैं