Wवर्डप्रेस भेद्यता डेटाबेस

सामुदायिक चेतावनी वर्डप्रेस फॉर्म मेकर XSS(CVE20261065)

10Web प्लगइन द्वारा वर्डप्रेस फॉर्म मेकर में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0






Cross‑Site Scripting (CVE‑2026‑1065) in Form Maker by 10Web — What WordPress Site Owners Must Do Now


प्लगइन का नाम 10Web द्वारा WordPress फ़ॉर्म मेकर
कमजोरियों का प्रकार क्रॉस साइट स्क्रिप्टिंग
CVE संख्या CVE-2026-1065
तात्कालिकता मध्यम
CVE प्रकाशन तिथि 2026-02-08
स्रोत URL CVE-2026-1065

10Web द्वारा फ़ॉर्म मेकर में क्रॉस-साइट स्क्रिप्टिंग (CVE-2026-1065) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

दिनांक: 2026-02-06 · लेखक: हांगकांग सुरक्षा विशेषज्ञ

फ़ॉर्म मेकर में SVG अपलोड के माध्यम से अप्रमाणित संग्रहीत XSS (<=1.15.35) को CVE-2026-1065 के रूप में प्रकाशित किया गया था। यह पोस्ट जोखिम, हमलावरों द्वारा SVG अपलोड हैंडलिंग का दुरुपयोग कैसे किया जा सकता है, शोषण का पता कैसे लगाया जाए, और एक विस्तृत शमन और पुनर्प्राप्ति चेकलिस्ट समझाती है।.

यह सुरक्षा दोष क्यों महत्वपूर्ण है

स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (XSS) एक उच्च-प्रभाव वाला क्लाइंट-साइड कमजोरियों है। इस मामले में, अनधिकृत हमलावर तैयार किए गए SVG फ़ाइलों को अपलोड कर सकते हैं जो साइट पर बनी रहती हैं और जब विज़िटर के ब्राउज़र द्वारा रेंडर की जाती हैं तो जावास्क्रिप्ट को निष्पादित करती हैं। चूंकि यह कमजोरियों अनधिकृत है, हमलावर को उपयोगकर्ता खाता की आवश्यकता नहीं है - केवल कमजोर अपलोड एंडपॉइंट तक पहुँचने की क्षमता।.

संभावित परिणामों में शामिल हैं:

  • प्रमाणित कुकीज़ और सत्र टोकन की चोरी (जिससे विशेषाधिकार वृद्धि होती है);
  • यदि प्रशासक संक्रमित पृष्ठों को देखते हैं तो चुपचाप प्रशासनिक खाता अधिग्रहण;
  • स्थायी सामग्री इंजेक्शन (फिशिंग, विकृति, विज्ञापन सम्मिलन);
  • साइट आगंतुकों को ड्राइव-बाय मैलवेयर वितरण;
  • उपयोगकर्ता के ब्राउज़र में सुलभ डेटा का निष्कर्षण (फॉर्म प्रविष्टियाँ, संपर्क डेटा);
  • प्रतिष्ठा को नुकसान और SEO दंड।.

SVG XML हैं और इनमें शामिल हो सकते हैं