Wवर्डप्रेस भेद्यता डेटाबेस

समुदाय सुरक्षा चेतावनी OpenPOS Lite XSS जोखिम (CVE20261826)

वर्डप्रेस OpenPOS Lite में क्रॉस साइट स्क्रिप्टिंग (XSS) - WooCommerce प्लगइन के लिए बिक्री बिंदु
0
शेयर
0
0
0
0
प्लगइन का नाम OpenPOS Lite - WooCommerce के लिए बिक्री बिंदु
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2026-1826
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-02-10
स्रोत URL CVE-2026-1826

OpenPOS Lite में क्रॉस-साइट स्क्रिप्टिंग (XSS) (<= 3.0): वर्डप्रेस साइट मालिकों को अभी क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ

तारीख: 2026-02-10

कार्यकारी सारांश

OpenPOS Lite - WooCommerce प्लगइन (संस्करण <= 3.0) में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE-2026-1826) की रिपोर्ट की गई है। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार या उससे अधिक हैं, वह शॉर्टकोड विशेषताओं में स्क्रिप्ट इंजेक्ट कर सकता है जो संग्रहीत होती हैं और बाद में उचित एस्केपिंग के बिना रेंडर की जाती हैं। जब प्रशासक या अन्य विश्वसनीय उपयोगकर्ता उन पृष्ठों को देखते हैं जिनमें ये संग्रहीत मान शामिल होते हैं, तो इंजेक्ट किया गया पेलोड उनके ब्राउज़रों में निष्पादित हो सकता है।.

यह सलाह, जो एक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से लिखी गई है, समझाती है:

  • भेद्यता कैसे काम करती है (उच्च स्तर और तकनीकी),
  • कौन जोखिम में है और योगदानकर्ता स्तर की पहुंच क्यों महत्वपूर्ण है,
  • सुरक्षित कोडिंग सुधार और डेवलपर सर्वोत्तम प्रथाएँ,
  • व्यावहारिक शमन जो साइट मालिक तुरंत लागू कर सकते हैं (भूमिका सख्ती, आभासी पैचिंग मार्गदर्शन, पहचान),
  • एक घटना प्रतिक्रिया प्लेबुक और फोरेंसिक टिप्स।.

पृष्ठभूमि: यह भेद्यता कैसे उत्पन्न होती है

वर्डप्रेस शॉर्टकोड सामग्री लेखकों से विशेषताएँ स्वीकार करते हैं और add_shortcode() के साथ पंजीकृत कॉलबैक फ़ंक्शनों द्वारा रेंडर किए जाते हैं। यदि एक प्लगइन शॉर्टकोड विशेषताओं को डेटाबेस में सहेजता है (उदाहरण के लिए, एक शॉर्टकोड कॉन्फ़िगरेशन या उत्पाद-स्तरीय सेटिंग के रूप में) और बाद में उन संग्रहीत विशेषताओं को उचित सफाई और एस्केपिंग के बिना आउटपुट करता है, तो संग्रहीत XSS संभव है।.

इस मामले में, एक योगदानकर्ता कस्टम शॉर्टकोड विशेषताओं वाले डेटा को बना या अपडेट कर सकता है। जब उन विशेषताओं को प्रशासनिक पृष्ठों या उच्च विशेषाधिकार वाले उपयोगकर्ताओं द्वारा देखे जाने वाले फ्रंट-एंड स्क्रीन पर रेंडर किया जाता है, तो ब्राउज़र हमलावर द्वारा प्रदान किए गए जावास्क्रिप्ट को निष्पादित कर सकता है।.

योगदानकर्ता विशेषाधिकार क्यों महत्वपूर्ण है:

  • योगदानकर्ता पोस्ट बना और संपादित कर सकते हैं और प्लगइन यूआई या फ़ील्ड के साथ इंटरैक्ट कर सकते हैं जिन्हें प्लगइन प्रोसेस करता है।.
  • हालांकि वे प्रकाशित नहीं कर सकते, उनका संग्रहीत इनपुट बाद में प्रशासकों या संपादकों को प्रदर्शित किया जा सकता है - यह संग्रहीत XSS के लिए खतरनाक रास्ता है।.
  • समझौता किए गए योगदानकर्ता खाते या सामाजिक इंजीनियरिंग सामान्य तरीके हैं जिनसे हमलावर सामग्री को सम्मिलित करते हैं।.

प्रभाव (एक हमलावर क्या हासिल कर सकता है)

स्टोर की गई XSS पीड़ित की साइट के संदर्भ में मनमाने JavaScript निष्पादन की अनुमति देती है। संभावित प्रभावों में शामिल हैं:

  • सत्र कुकी चोरी और प्रमाणित सत्रों का दुरुपयोग।.
  • एक व्यवस्थापक के रूप में क्रियाएँ करना (CSRF को XSS के साथ मिलाकर)।.
  • फ़िशिंग ओवरले, अदृश्य रीडायरेक्टर्स, या दुर्भावनापूर्ण iframes को इंजेक्ट करना।.
  • एक व्यवस्थापक द्वारा समझौता किए गए पृष्ठ को ब्राउज़ करते समय बैकडोर अपलोड करने या फ़ाइलों को संशोधित करने के लिए व्यवस्थापक प्रवाह में पिवट करना।.
  • ब्राउज़र-साइड मैलवेयर या कीलॉगर स्थापित करना।.

कुछ विश्लेषक पैच प्राथमिकता को कम वर्गीकृत करते हैं क्योंकि शोषण के लिए एक विशेषाधिकार प्राप्त उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है; फिर भी, कोई भी स्टोर की गई XSS जो व्यवस्थापकों या अन्य विश्वसनीय उपयोगकर्ताओं तक पहुँच सकती है, उसे शमन के लिए उच्च परिचालन प्राथमिकता के साथ माना जाना चाहिए।.

यह मुद्दा कैसे काम करता है — एक उच्च-स्तरीय उदाहरण

  1. एक योगदानकर्ता एक प्लगइन UI या पोस्ट में सामग्री बनाता/संपादित करता है और एक शॉर्टकोड विशेषता मान सेट करता है (उदाहरण के लिए, [pos_widget title=”...”]).
  2. प्लगइन उचित स्वच्छता के बिना डेटाबेस में विशेषता मान को स्टोर करता है।.
  3. साइट उस स्टोर की गई विशेषता को एक व्यवस्थापक पृष्ठ या फ्रंट-एंड पृष्ठ पर उचित एस्केपिंग के बिना प्रस्तुत करती है।.
  4. एक व्यवस्थापक या अन्य विशेषाधिकार प्राप्त उपयोगकर्ता उस पृष्ठ को देखता है; ब्राउज़र एक हमलावर द्वारा प्रदान किए गए स्क्रिप्ट पेलोड को निष्पादित करता है।.

सुरक्षा और जिम्मेदार प्रकटीकरण के लिए हम यहाँ शोषण कोड प्रकाशित नहीं करते हैं। नीचे डेवलपर्स के लिए इंजेक्शन को रोकने के लिए सुरक्षित उदाहरण हैं।.

डेवलपर मार्गदर्शन: सुरक्षित शॉर्टकोड हैंडलिंग और सुरक्षित आउटपुट

जब शॉर्टकोड हैंडलर लिखते हैं या शॉर्टकोड विशेषताओं को सहेजते हैं:

  • जब इसे स्टोर किया जाता है तो इनपुट को मान्य और स्वच्छ करें।.
  • रेंडर समय पर आउटपुट को एस्केप करें—कभी भी केवल इनपुट स्वच्छता पर निर्भर न रहें।.
  • संदर्भ-जानकारी एस्केपिंग फ़ंक्शंस का उपयोग करें (esc_attr, esc_html, esc_url, wp_kses)।.
  • यदि HTML की आवश्यकता है तो wp_kses() या स्पष्ट व्हाइटलिस्ट के साथ अनुमत HTML को सीमित करें।.
  • क्षमताओं को सीमित करें ताकि केवल विश्वसनीय भूमिकाएँ उन आइटमों को बना सकें जो विशेष स्क्रीन में प्रदर्शित होते हैं।.

कमजोर पैटर्न (उपयोग न करें):

&lt;?php

सुरक्षित पैटर्न:

&lt;?php

यदि विशेषताओं में सीमित HTML की आवश्यकता है, तो wp_kses() का उपयोग करें जिसमें एक स्पष्ट व्हाइटलिस्ट हो:

$allowed = array(;

विशेषता मानों को सहेजते समय:

  • सामान्य पाठ के लिए sanitize_text_field() का उपयोग करें।.
  • HTML के लिए wp_kses_post() या wp_kses() का उपयोग करें जिसमें एक व्हाइटलिस्ट हो।.
  • कभी भी अप्रक्रमित उपयोगकर्ता इनपुट को स्टोर न करें जिसे बाद में शाब्दिक रूप से प्रिंट किया जाएगा।.

सुरक्षित डेटाबेस हैंडलिंग के उदाहरण

// मान लीजिए $_POST['pos_title'] एक योगदानकर्ता द्वारा प्रस्तुत किया गया है'<div>'if ( isset( $_POST['pos_title'] ) ) {'</div>';

याद रखें: इनपुट पर साफ करें और आउटपुट पर एस्केप करें। दोनों आवश्यक हैं।.

साइट मालिकों के लिए उपाय - तात्कालिक कदम

यदि आप OpenPOS Lite (≤ 3.0) या किसी भी प्लगइन को चलाते हैं जो शॉर्टकोड विशेषताओं को स्टोर करता है, तो इन तात्कालिक उपायों को लागू करें:

  1. योगदानकर्ता पहुंच को सीमित करें और भूमिकाओं की समीक्षा करें

    • अस्थायी रूप से योगदानकर्ता क्षमताओं को सीमित करें (प्लगइन प्रशासन UI तक पहुंच हटा दें, या जोखिम भरे उपयोगकर्ताओं को अधिक सीमित भूमिका में परिवर्तित करें)।.
    • योगदानकर्ता विशेषाधिकार वाले खातों का ऑडिट करें; संदिग्ध खातों के लिए पासवर्ड हटा दें या रीसेट करें और प्रशासकों के लिए मजबूत प्रमाणीकरण लागू करें।.
  2. प्लगइन उपयोग का ऑडिट करें और जोखिम भरे शॉर्टकोड को अक्षम करें

    • यदि शॉर्टकोड की आवश्यकता नहीं है, तो इसे remove_shortcode(‘pos_widget’); के साथ अनरजिस्टर करें;
    • उन प्रशासनिक पृष्ठों को सीमित करें जहाँ संग्रहीत शॉर्टकोड विशेषताएँ प्रदर्शित होती हैं, या केवल प्रशासकों के लिए दृश्यता को सीमित करें।.
  3. संपादक और अपलोड नियंत्रण को मजबूत करें

    • योगदानकर्ताओं द्वारा लिखित पोस्ट के लिए अनुमोदन कार्यप्रवाह की आवश्यकता करें।.
    • जहां संभव हो, अविश्वसनीय उपयोगकर्ताओं के लिए फ़ाइल अपलोड को अक्षम या सीमित करें।.
  4. आभासी पैचिंग / WAF नियम लागू करें

    • लक्षित WAF नियमों को लागू करें ताकि शॉर्टकोड डेटा या प्लगइन सेटिंग्स को अपडेट करते समय संदिग्ध स्क्रिप्ट पैटर्न वाले POST पेलोड को ब्लॉक किया जा सके।.
    • नियमों को प्रशासनिक एंडपॉइंट्स, REST API कॉल और AJAX हैंडलर्स पर केंद्रित करें जो प्लगइन द्वारा उपयोग किए जाते हैं ताकि झूठे सकारात्मक को कम किया जा सके।.
  5. निगरानी और स्कैन करें।

    • मैलवेयर स्कैन चलाएं और डेटाबेस में इंजेक्टेड स्क्रिप्ट पैटर्न की खोज करें।.
    • योगदानकर्ता खातों से उत्पन्न असामान्य प्रशासनिक POST के लिए एक्सेस लॉग की निगरानी करें।.
  6. बैकअप

    • सबूत को संरक्षित करने और यदि आवश्यक हो तो पुनर्स्थापना की अनुमति देने के लिए सुधार से पहले तुरंत बैकअप बनाएं।.
  7. जब विक्रेता पैच उपलब्ध हो तो अपडेट करें।

    • जब विक्रेता द्वारा प्रदान किए गए पैच जारी किए जाएं तो उन्हें तुरंत लागू करें और उत्पादन तैनाती से पहले स्टेजिंग में परिवर्तनों का परीक्षण करें।.

रक्षात्मक परतें - सामान्य नियंत्रण (विक्रेता तटस्थ)

प्रभावी सुरक्षा कई परतों को मिलाकर बनती है:

  • कोड हार्डनिंग: प्लगइन कोड में मूल कारण को ठीक करें (सहेजने पर साफ करें, आउटपुट पर एस्केप करें)।.
  • भूमिका और क्षमता को कड़ा करना: उन खातों की संख्या को कम करें जो सामग्री बना सकते हैं जो प्रशासनिक रूप से प्रस्तुत की जाती है।.
  • वर्चुअल पैचिंग: कोड फिक्स की प्रतीक्षा करते समय शोषण पेलोड को ब्लॉक करने के लिए एज पर या होस्टिंग नियंत्रणों के माध्यम से WAF नियम लागू करें।.
  • निगरानी और पहचान: इंजेक्टेड स्क्रिप्ट और असामान्य प्रशासनिक गतिविधि के लिए डेटाबेस और फ़ाइलों को स्कैन करें।.
  • संचालन नियंत्रण: बैकअप, घटना प्रतिक्रिया तत्परता, और क्रेडेंशियल स्वच्छता (पासवर्ड रीसेट, MFA)।.

इन उदाहरण पहचान पैटर्न का सावधानी से उपयोग करें और वैध ट्रैफ़िक को बाधित करने से बचने के लिए स्टेजिंग में परीक्षण करें।.

  • ब्लॉक करें यदि एट्रिब्यूट मान में <script या शामिल है: पैटर्न: (?i)<\s*script\b
  • ब्लॉक करें यदि एट्रिब्यूट मान में इवेंट हैंडलर्स शामिल हैं: पैटर्न: (?i)on(?:error|load|mouseover|focus|click)\s*=
  • एट्रिब्यूट में javascript: URI को ब्लॉक करें: पैटर्न: (?i)javascript\s*:
  • Block encoded payloads like %3Cscript%3E: pattern: %3c\s*script%3e
  • विशेषता की लंबाई सीमित करें (जैसे, शीर्षक ≤ 200 वर्ण) और उन क्षेत्रों के लिए बड़े मानों को अस्वीकार करें जो छोटे होने चाहिए।.
  • नियमों को विशिष्ट एंडपॉइंट्स (व्यवस्थापक POSTs प्लगइन पृष्ठों या ज्ञात REST API मार्गों) तक सीमित करें ताकि झूठे सकारात्मक कम हों।.

नियमित अभिव्यक्ति पहचान को ह्यूरिस्टिक्स और निगरानी के साथ मिलाएं; अत्यधिक व्यापक नियम वैध सामग्री को तोड़ सकते हैं।.

  1. अलग करें

    • प्रभावित व्यवस्थापक पृष्ठों को ऑफ़लाइन लें या यदि संभव हो तो रखरखाव मोड सक्षम करें।.
    • योगदानकर्ता क्षमताओं को अस्थायी रूप से कम करें।.
  2. सीमित करें

    • WAF के माध्यम से दुर्भावनापूर्ण अनुरोधों को अवरुद्ध करें।.
    • सुरक्षित स्थानों पर संग्रहीत पेलोड्स की पहचान करें और उन्हें हटा दें; फोरेंसिक्स के लिए प्रतियां सहेजें।.
  3. समाप्त करें

    • डेटाबेस और फ़ाइल सिस्टम से इंजेक्टेड कोड को हटा दें।.
    • प्रभावित खातों के लिए क्रेडेंशियल्स रीसेट करें और रहस्यों को घुमाएं।.
  4. पुनर्प्राप्त करें

    • यदि आवश्यक हो तो एक सत्यापित स्वच्छ बैकअप से पुनर्स्थापित करें और हार्डनिंग को फिर से लागू करें।.
  5. समीक्षा करें

    • मूल कारण विश्लेषण करें ताकि यह जान सकें कि पेलोड कैसे संग्रहीत किया गया था और कोड पथ को ठीक करें।.
    • नीतियों, सुरक्षित कोड प्रथाओं और डेवलपर कार्यप्रवाह को अपडेट करें।.
  6. रिपोर्ट

    • प्रभावित उपयोगकर्ताओं को सूचित करें यदि संवेदनशील डेटा उजागर हुआ है और आवश्यकतानुसार कानूनी या अनुपालन टीमों को बढ़ाएं।.

पहचान: कैसे जानें कि आपकी साइट को लक्षित किया गया था

इन संकेतकों की खोज करें:

  • wp_posts, wp_postmeta, wp_options, या प्लगइन तालिकाओं में <script, onerror=, javascript:, document.cookie, eval(, या URL-encoded स्क्रिप्ट टैग शामिल हैं।.
  • योगदानकर्ता खातों से असामान्य व्यवस्थापक POST अनुरोध।.
  • छोटे पाठ क्षेत्रों में अप्रत्याशित रूप से लंबे या असामान्य सामग्री के साथ नए या अपडेटेड पोस्ट।.
  • जब व्यवस्थापक पृष्ठ लोड होते हैं तो ब्राउज़र कंसोल त्रुटियाँ या अप्रत्याशित नेटवर्क अनुरोध।.

फोरेंसिक प्रश्नों के लिए डेटाबेस की केवल पढ़ने योग्य प्रतियों का उपयोग करें। उदाहरण खोजें:

SELECT ID, post_title;

SELECT option_name, option_value;

डेवलपर चेकलिस्ट को मजबूत करना (भविष्य के XSS को रोकना)

  • इनपुट पर साफ करें, आउटपुट पर एस्केप करें—हमेशा।.
  • WordPress APIs का उपयोग करें: sanitize_text_field(), sanitize_email(), wp_kses(), wp_kses_post()।.
  • रेंडर समय पर esc_attr(), esc_html(), esc_url() का उपयोग करें।.
  • भूमिकाओं और क्षमताओं को सीमित करें; यदि वे HTML सहेज सकते हैं तो योगदानकर्ताओं के लिए प्लगइन UI को उजागर करने से बचें।.
  • संक्षिप्त फ़ील्ड की लंबाई को मान्य करें।.
  • प्रशासन POST हैंडलरों में nonce जांच और क्षमता जांच लागू करें।.
  • प्लगइन कोड में eval() और create_function() से बचें।.
  • प्रशासनिक पृष्ठों में प्रदर्शित सामग्री में परिवर्तनों को लॉग और मॉनिटर करें।.

दीर्घकालिक रोकथाम: नीति, प्रशिक्षण, और स्कैनिंग

  • एक अनुमोदन कार्यप्रवाह लागू करें ताकि संपादक या प्रशासक योगदानकर्ता की सामग्री की समीक्षा करें इससे पहले कि यह प्रशासनिक संदर्भों में दिखाई दे।.
  • प्लगइन और थीम कोड के नियमित स्वचालित सुरक्षा स्कैन चलाएं।.
  • किसी भी प्लगइन या थीम के लिए सुरक्षित कोड समीक्षाएँ करें जिसे आप स्थापित या विकसित करते हैं।.
  • सामग्री संपादकों और योगदानकर्ताओं को सुरक्षा स्वच्छता पर प्रशिक्षित करें—अविश्वसनीय स्रोतों से HTML चिपकाने से बचें।.
  • WordPress कोर, प्लगइन्स और थीम के लिए एक मजबूत अपडेट ताल को बनाए रखें और विक्रेता सुरक्षा सलाहकारियों की सदस्यता लें।.

प्लगइन डेवलपर्स के लिए: विशिष्ट सुरक्षित पैटर्न

  • shortcode_atts() में स्वीकार किए गए गुणों को मान्य करें और प्रकारों को स्पष्ट रूप से कास्ट करें।.
  • प्रशासनिक हैंडलरों में क्षमता जांच का उपयोग करें, उदाहरण के लिए: 
    if ( ! current_user_can( 'manage_options' ) ) {
  • यदि HTML संग्रहीत कर रहे हैं, तो केवल स्वच्छ संस्करण संग्रहीत करें और कच्चे इनपुट के बजाय स्वच्छ मानों को संग्रहीत करना प्राथमिकता दें।.
  • प्रशासन स्क्रीन में आउटपुट करते समय, तालिका कोशिकाओं के लिए esc_html() का उपयोग करें और केवल आवश्यक स्थानों पर wp_kses_post() का उपयोग करें।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: क्या एक योगदानकर्ता वास्तव में प्रशासन को खतरे में डाल सकता है?
उत्तर: हाँ—यदि उनका इनपुट संग्रहीत किया जाता है और बाद में एक पृष्ठ में प्रदर्शित होता है जिसे एक प्रशासन (या अन्य विश्वसनीय उपयोगकर्ता) बिना उचित एस्केपिंग के देखता है, तो संग्रहीत XSS पेलोड निष्पादित हो सकता है और प्रशासन के विशेषाधिकारों के साथ कार्य कर सकता है।.

प्रश्न: क्या शॉर्टकोड को निष्क्रिय करने से यह ठीक होगा?
उत्तर: विशिष्ट शॉर्टकोड को निष्क्रिय करना इस वेक्टर को निष्क्रिय कर सकता है लेकिन साइट की कार्यक्षमता को तोड़ सकता है। अप्रयुक्त या जोखिम भरे शॉर्टकोड को अनरजिस्टर करें और सुनिश्चित करें कि मौजूदा शॉर्टकोड सामग्री स्वच्छ है।.

प्रश्न: क्या WAF पर्याप्त है?
उत्तर: एक WAF एक महत्वपूर्ण शमन परत (वर्चुअल पैचिंग) प्रदान करता है और समय खरीद सकता है, लेकिन मूल कारण को कोड में ठीक किया जाना चाहिए। WAF सुरक्षा को रक्षात्मक परत के रूप में मानें, सुरक्षित कोड के लिए स्थायी विकल्प नहीं।.

अंतिम सिफारिशें - प्राथमिकता दी गई चेकलिस्ट

  1. अब योगदानकर्ता के विशेषाधिकारों को सीमित करें और उपयोगकर्ता खातों का ऑडिट करें।.
  2. OpenPOS Lite के उपयोग का ऑडिट करें और जहां संभव हो जोखिम भरे शॉर्टकोड को अनरजिस्टर करें।.
  3. प्लगइन सहेजें/प्रिंट कोड की समीक्षा करें: सहेजने पर sanitize_ लागू करें और आउटपुट पर esc_ लागू करें।.
  4. एक विक्रेता पैच की प्रतीक्षा करते हुए प्रशासन के एंडपॉइंट्स पर केंद्रित लक्षित WAF नियम (वर्चुअल पैचिंग) लागू करें।.
  5. बैकअप लें, साइट को स्कैन करें, और समझौते के संकेतों की निगरानी करें; यदि आप संग्रहीत स्क्रिप्ट पेलोड का पता लगाते हैं तो घटना प्रतिक्रिया प्लेबुक का पालन करें।.
  6. जब एक आधिकारिक प्लगइन पैच जारी किया जाता है, तो इसे स्टेजिंग में परीक्षण करें और तुरंत लागू करें।.

यदि आपको सहायता की आवश्यकता है, तो एक प्रतिष्ठित सुरक्षा पेशेवर या घटना प्रतिक्रिया करने वाले की तलाश करें जो लक्षित ऑडिट कर सके, वर्चुअल पैचिंग लागू कर सके, और आपके डेवलपर्स को स्थायी सुधार लागू करने में मदद कर सके। हांगकांग और व्यापक एशिया-प्रशांत क्षेत्र में, त्वरित नियंत्रण और स्पष्ट फोरेंसिक संरक्षण महत्वपूर्ण हैं—साक्ष्य को बरकरार रखें, समयरेखा का दस्तावेजीकरण करें, और हितधारकों के साथ तुरंत संवाद करें।.

सतर्क रहें: त्वरित संचालन नियंत्रण, सुरक्षित कोडिंग, और परतदार रक्षा का संयोजन आपके वर्डप्रेस इंस्टॉलेशन को संग्रहीत XSS वेक्टर जैसे CVE‑2026‑1826 के खिलाफ मजबूत बनाए रखेगा।.

— हांगकांग सुरक्षा विशेषज्ञ

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

माइक्रोटैंगो प्लगइन XSS हांगकांग की वेबसाइटों को खतरे में डालता है (CVE20261821)

अगला लेख —

हांगकांग एनजीओ ने स्लाइडशो में XSS की चेतावनी दी (CVE20261885)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह पोस्ट SMTP एक्सपोजर(CVE202511833)

  • नवम्बर 3, 2025
वर्डप्रेस पोस्ट SMTP प्लगइन <= 3.6.0 - अनधिकृत ईमेल लॉग प्रकटीकरण के माध्यम से खाता अधिग्रहण के लिए अनुमति की कमी वल्नरेबिलिटी
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा एनजीओ ने वर्डप्रेस अनधिकृत वृद्धि की चेतावनी दी (CVE20258059)

  • अगस्त 11, 2025
महत्वपूर्ण वर्डप्रेस B Blocks प्लगइन विशेषाधिकार वृद्धि (CVE-2025-8059): साइट मालिकों को अब क्या करना चाहिए प्लगइन नाम B Blocks…