पृष्ठभूमि और प्रभाव

7 अप्रैल 2026 को एक स्टोर की गई XSS कमजोरी का खुलासा किया गया जो प्राइम स्लाइडर – ऐडऑन फॉर एलिमेंटर (संस्करण 4.1.10 तक और शामिल) को प्रभावित करता है। प्लगइन ने फॉलो_us_text पैरामीटर से एक मान को पर्याप्त सफाई या आउटपुट escaping के बिना स्टोर किया। एक प्रमाणित उपयोगकर्ता (लेखक स्तर या उच्चतर) HTML/JavaScript इंजेक्ट कर सकता था जो स्टोर किया गया और बाद में अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित किया गया जब मान प्रस्तुत किया गया।.

यह मुद्दा CVE-2026-4341 के रूप में दर्ज किया गया और संस्करण 4.1.11 में ठीक किया गया। हालांकि रिपोर्ट किया गया CVSS मध्यम (~5.9) है, स्टोर की गई XSS व्यावहारिक रूप से उच्च जोखिम है: हमलावर सत्र टोकन चुरा सकते हैं, व्यवस्थापकों के रूप में कार्य कर सकते हैं, स्थायी रीडायरेक्ट कर सकते हैं, या आगे के बैकडोर स्थापित कर सकते हैं।.

कौन जोखिम में है

• प्राइम स्लाइडर – ऐडऑन फॉर एलिमेंटर प्लगइन संस्करण 4.1.10 या उससे पहले चलाने वाली साइटें।.
• साइटें जो गैर-व्यवस्थापक प्रमाणित उपयोगकर्ताओं (लेखक/योगदानकर्ता) को स्लाइडर सामग्री बनाने या संपादित करने की अनुमति देती हैं।.
• साइटें जहां फॉलो_us_text उन पृष्ठों पर प्रस्तुत किया जाता है जिन्हें व्यवस्थापकों, संपादकों या अनधिकृत आगंतुकों द्वारा देखा जाता है।.
• मल्टीसाइट नेटवर्क जहां प्लगइन नेटवर्क-एक्टिव है।.

यहां तक कि कम-ट्रैफ़िक साइटों को स्वचालित स्कैनिंग द्वारा लक्षित या खोजा जा सकता है। इसे कार्रवाई योग्य मानें: संस्करणों की जांच करें और जल्दी पैच करें।.

कमजोरियों का काम करने का तरीका (उच्च स्तर)

1. follow_us_text एक प्लगइन सेटिंग/संशोधित करने योग्य फ़ील्ड है जो डेटाबेस (विकल्प, पोस्टमेटा, या प्लगइन सेटिंग्स) में सहेजी जाती है।.
2. इनपुट हैंडलिंग ठीक से खतरनाक इनपुट (स्क्रिप्ट टैग, इवेंट एट्रिब्यूट) को साफ या एस्केप नहीं करती है।.
3. आउटपुट पर, संग्रहीत HTML/JS आगंतुकों के ब्राउज़रों में निष्पादित होता है। स्थिरता लोड को सत्रों में प्रभावी बनाती है।.
4. एक लेखक-स्तरीय हमलावर एक लोड को इंजेक्ट कर सकता है जो तब निष्पादित होता है जब व्यवस्थापक या अन्य विशेषाधिकार प्राप्त उपयोगकर्ता स्लाइडर को देखते हैं।.
5. परिणामों में कुकी चोरी, सत्र अपहरण, CSRF-शैली के विशेषाधिकार प्राप्त क्रियाएँ, या द्वितीयक लोड का वितरण शामिल हैं।.

शोषण परिदृश्य और हमलावर के लक्ष्य

• विशेषाधिकार वृद्धि पिवट: प्रभावित पृष्ठों को देखने पर व्यवस्थापक सत्र/कुकीज़ को कैप्चर करें।.
• स्थायी मैलवेयर ड्रॉप: स्क्रिप्ट इंजेक्ट करें जो बाहरी मैलवेयर, विज्ञापन, या स्पैम लोड करते हैं।.
• सामाजिक इंजीनियरिंग और रीडायरेक्ट: नकली व्यवस्थापक संकेत दिखाएं या फ़िशिंग/मॉनिटाइज्ड साइटों पर रीडायरेक्ट करें।.
• SEO विषाक्तता / स्पैम सम्मिलन: लिंक या सामग्री छिपाएं जो प्रतिष्ठा और रैंकिंग को degrade करती हैं।.
• दूसरे चरण का वितरण: प्रमाणित क्रियाएँ करने के लिए XSS का उपयोग करें (प्लगइन अपलोड करें, विकल्प बदलें)।.

सुरक्षित पहचान और समझौते के संकेत

संग्रहीत सामग्री और व्यवहारिक संकेतों पर ध्यान केंद्रित करें:

• अप्रत्याशित इनलाइन टैग, javascript: URIs, या on* एट्रिब्यूट (onclick, onmouseover) प्लगइन सेटिंग्स, थीम विकल्पों, या स्लाइडर सामग्री में।.
• उन पृष्ठों पर अप्रत्याशित इनलाइन JS जो स्लाइडर को शामिल करते हैं।.
• व्यवस्थापक केवल तब पॉपअप, पासवर्ड संकेत, या रीडायरेक्ट देखते हैं जब लॉग इन होते हैं।.
• नए व्यवस्थापक-स्तरीय उपयोगकर्ता, अनधिकृत सामग्री, या अज्ञात अनुसूचित कार्य।.
• साइट पृष्ठों द्वारा आरंभ की गई अपरिचित डोमेन के लिए आउटबाउंड कनेक्शन।.
• प्लगइन संस्करण और XSS का संदर्भ देने वाले सुरक्षा स्कैनर अलर्ट।.

समझौते के लिए अपनी साइट और डेटाबेस की खोज कैसे करें (सुरक्षित क्वेरी)

परिवर्तन करने से पहले फ़ाइलों और DB का बैकअप लें। जांच करते समय केवल पढ़ने योग्य प्रश्नों को प्राथमिकता दें।.

SQL उदाहरण (यदि wp_ नहीं है तो तालिका उपसर्ग समायोजित करें):

SELECT option_id, option_name FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%javascript:%' LIMIT 50;

WP-CLI उदाहरण (केवल पढ़ने योग्य खोजें):

wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%';"

फ़ाइल प्रणाली स्कैन (grep):

grep -R "follow_us" wp-content/ -n

नोट: वैध कोड में (थीम/प्लगइन्स) शामिल हो सकते हैं। संदर्भ की समीक्षा करें और अस्पष्ट JS की तलाश करें: eval, unescape, fromCharCode, base64 स्ट्रिंग।.

तात्कालिक सुधारात्मक कदम (संक्षिप्त मार्ग)

1. प्लगइन को अपडेट करें: प्राइम स्लाइडर को 4.1.11 या बाद के संस्करण में अपग्रेड करें — यह मूल कारण को ठीक करता है।.
2. पैच होने तक विशेषाधिकारों को कड़ा करें: यह सीमित करें कि कौन स्लाइडर सामग्री को संपादित कर सकता है। स्लाइडरों के लिए अविश्वसनीय लेखक/योगदानकर्ता संपादन अधिकार हटा दें।.
3. WAF के माध्यम से वर्चुअल पैचिंग: यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो सेटिंग्स लिखने वाले अनुरोधों में स्क्रिप्ट टैग और संदिग्ध पेलोड को ब्लॉक करने के लिए वेब एप्लिकेशन फ़ायरवॉल नियम लागू करें (नीचे WAF उदाहरण देखें)।.
4. खतरनाक अनुरोध पैटर्न को ब्लॉक करें: उन POSTs को अस्वीकार करें जो script-जैसे स्ट्रिंग्स के साथ follow_us_text शामिल करते हैं।.
5. संग्रहीत इंजेक्शनों की खोज करें: इंजेक्टेड स्क्रिप्ट के सबूत खोजने के लिए ऊपर दिए गए SQL/WP-CLI/फाइल खोज पैटर्न का उपयोग करें।.
6. यदि समझौता संदिग्ध है तो सत्र और क्रेडेंशियल्स रीसेट करें: सभी उपयोगकर्ताओं के लिए लॉगआउट मजबूर करें, व्यवस्थापक पासवर्ड रीसेट करें, और wp-config.php में प्रमाणीकरण नमक को घुमाएँ।.

अनुशंसित हार्डनिंग और दीर्घकालिक शमन

1. न्यूनतम विशेषाधिकार का सिद्धांत: केवल विश्वसनीय उपयोगकर्ताओं को बिना फ़िल्टर किए गए HTML की अनुमति देने वाली सामग्री संपादित करनी चाहिए। जहां संभव हो, क्षमताओं को व्यवस्थापकों तक सीमित करें।.
2. निम्नलिखित भूमिकाओं से unfiltered_html हटा दें: भूमिका प्रबंधन या एक छोटे MU प्लगइन का उपयोग करें ताकि लेखकों और योगदानकर्ताओं के लिए unfiltered_html को रद्द किया जा सके।.

उदाहरण MU प्लगइन स्निपेट (पहले स्टेजिंग में परीक्षण करें):

<?php;

3. आउटपुट escaping और sanitization: प्लगइन डेवलपर्स को इनपुट को sanitize और आउटपुट को escape करना चाहिए (sanitize_text_field, wp_kses_post, esc_html, esc_attr)।.
4. सामग्री-सुरक्षा-नीति (CSP): इंजेक्टेड इनलाइन स्क्रिप्ट के प्रभाव को कम करने के लिए एक प्रतिबंधात्मक CSP लागू करें (उदाहरण के लिए, इनलाइन स्क्रिप्ट की अनुमति न दें और script-src को विश्वसनीय मूल तक सीमित करें)।.
5. अविश्वसनीय भूमिकाओं के लिए प्लगइन UI को अक्षम करें: गैर-प्रशासकों द्वारा स्लाइडर संपादन को रोकने के लिए मेनू पहुंच या क्षमता जांच को हटा दें।.
6. आवधिक स्कैन और निगरानी: इंजेक्टेड JS के लिए नियमित जांच का कार्यक्रम बनाएं, फ़ाइल अखंडता निगरानी सक्षम करें, और अलर्ट की समीक्षा करें।.
7. बैकअप और परीक्षण किए गए पुनर्स्थापनाएँ: हाल के, ऑफ़लाइन बैकअप रखें और पुनर्स्थापन प्रक्रियाओं का अभ्यास करें।.

WAF / वर्चुअल पैच नियम और उदाहरण

एक WAF तात्कालिक वर्चुअल पैचिंग प्रदान करता है। नीचे वैचारिक ModSecurity-शैली के नियम और पैटर्न हैं जिन्हें आप अनुकूलित कर सकते हैं। झूठे सकारात्मक से बचने के लिए निगरानी मोड में परीक्षण करें।.

उदाहरण ModSecurity नियम (follow_us_text पैरामीटर में स्क्रिप्ट टैग को ब्लॉक करें):

SecRule ARGS:follow_us_text "@rx (?i)(<\s*script|javascript:|on\w+\s*=)" \"

इनलाइन स्क्रिप्ट को पकड़ने के लिए सामान्य ARGS नियम:

SecRule ARGS_NAMES|ARGS|REQUEST_COOKIES "@rx (?i)(<\s*script|on\w+\s*=|javascript:|eval\(|unescape\(|fromCharCode\()" \"

संदिग्ध JS वाले प्लगइन सेटिंग्स एंडपॉइंट पर POST को ब्लॉक करें (पथ समायोजित करें):

SecRule REQUEST_METHOD "POST" "chain,phase:2,id:1001003,deny,status:403,msg:'Prime Slider सेटिंग्स POST संदिग्ध पेलोड के साथ'"

मार्गदर्शन:

• झूठे सकारात्मक को मापने के लिए 24–48 घंटों के लिए नियमों को निगरानी/लॉग-केवल मोड में शुरू करें।.
• जब स्वीकार्य हो, सबसे विश्वसनीय नियमों के लिए ब्लॉकिंग मोड में स्विच करें (पहले follow_us_text-विशिष्ट नियमों का पालन करें)।.
• जहां संभव हो, follow_us_text को सामान्य पाठ या सीमित सुरक्षित HTML उपसमुच्चय तक सीमित करने वाले सकारात्मक अनुमति-सूचियों को लागू करें।.

यदि आपकी साइट पहले से ही समझौता की गई है: पुनर्प्राप्ति योजना

1. शामिल करें: साइट को रखरखाव मोड में डालें और आगे के नुकसान को सीमित करें।.
2. स्नैपशॉट/बैकअप: सुधार से पहले फ़ाइलों और DB की फोरेंसिक कॉपी लें और इसे सुरक्षित रूप से ऑफ़लाइन स्टोर करें।.
3. क्रेडेंशियल्स को घुमाएं: व्यवस्थापक, FTP, API कुंजी रीसेट करें; DB पासवर्ड बदलें; सत्रों को अमान्य करने के लिए WordPress सॉल्ट्स को घुमाएँ।.
4. दुर्भावनापूर्ण प्रविष्टियाँ हटाएँ: आपकी खोजों द्वारा खोजे गए प्रभावित विकल्पों/पोस्टमेटा को हटाएँ या साफ़ करें। संवेदनशील बैकअप रखें।.
5. स्कैन और साफ करें: पूर्ण मैलवेयर स्कैन चलाएँ और दुर्भावनापूर्ण फ़ाइलों या कोड को हटाएँ। यदि संक्रमण गहरा है, तो ज्ञात-साफ़ बैकअप से पुनर्स्थापित करें।.
6. प्लगइन्स/थीम्स का पुनः ऑडिट करें: सभी को नवीनतम संस्करणों में अपडेट करें; अप्रयुक्त या परित्यक्त प्लगइन्स को हटाएँ।.
7. लॉग की समीक्षा करें: हमले के वेक्टर, नए व्यवस्थापक खातों, क्रोन कार्यों, या अप्रत्याशित कोड परिवर्तनों का निर्धारण करने के लिए एक्सेस लॉग की जांच करें।.
8. मजबूत करें और निगरानी करें: ऊपर दिए गए हार्डनिंग कदमों को लागू करें और पुनः संक्रमण को रोकने के लिए निरंतर निगरानी और WAF नियमों को सक्षम करें।.
9. पेशेवरों को शामिल करें: जटिल समझौतों के लिए, गहरी सफाई और पुनर्प्राप्ति करने के लिए एक फोरेंसिक सुरक्षा फर्म पर विचार करें।.

मल्टीसाइट और एजेंसियों के लिए परिचालन अनुशंसाएँ

• नेटवर्क व्यवस्थापक: तुरंत नेटवर्क-व्यापी प्लगइन को अपडेट करें — नेटवर्क-सक्रिय प्लगइन्स सभी उप-साइटों को प्रभावित कर सकते हैं।.
• एजेंसी-प्रबंधित साइटें: ग्राहक साइटों में भूमिकाओं का ऑडिट करें और जहां संभव हो अपडेट प्रबंधन को केंद्रीकृत करें। सुरक्षा रिलीज़ के लिए नियंत्रित ऑटो-अपडेट पर विचार करें।.
• ग्राहक संचार: प्रभावित ग्राहकों को जोखिम, नियोजित सुधार समयरेखा (पैच + स्कैन + निगरानी), और उठाए गए कार्यों के बारे में सूचित करें।.

अंतिम चेकलिस्ट (व्यावहारिक कदम-दर-कदम)

1. प्लगइन संस्करणों की जांच करें: क्या Prime Slider ≤ 4.1.10 स्थापित है?
2. प्लगइन को तुरंत 4.1.11 या बाद के संस्करण में अपडेट करें।.
3. यदि आप अभी अपडेट नहीं कर सकते:
   • अविश्वसनीय भूमिकाओं के लिए संपादन क्षमताओं को सीमित करें।.
   • follow_us_text XSS पेलोड को ब्लॉक करने के लिए WAF/वर्चुअल-पैच नियम लागू करें।.
4. “<script”, “javascript:”, और meta कुंजी जो follow_us या follow_us_text को शामिल करती हैं, के लिए DB खोजें।.
5. यदि आप इंजेक्टेड स्क्रिप्ट पाते हैं:
   • परिवर्तन करने से पहले साइट का बैकअप लें।.
   • दुर्भावनापूर्ण प्रविष्टियों को साफ करें या हटा दें (पहले स्टेजिंग पर परीक्षण करें)।.
   • पासवर्ड रीसेट करें और सॉल्ट्स को घुमाएं।.
6. एक पूर्ण मैलवेयर स्कैन चलाएं और संदिग्ध गतिविधियों और नियम हिट्स की निगरानी करें।.
7. दीर्घकालिक हार्डनिंग लागू करें: न्यूनतम विशेषाधिकार, CSP, आवधिक स्कैन, बैकअप।.