Wवर्डप्रेस भेद्यता डेटाबेस

GWD Conex प्लगइन एक्सेस नियंत्रण चेतावनी (CVE20266663)

वर्डप्रेस GWD Conex प्लगइन में टूटी हुई एक्सेस नियंत्रण
0
शेयर
0
0
0
0
प्लगइन का नाम GWD कनेक्ट
कमजोरियों का प्रकार एक्सेस नियंत्रण भेद्यता
CVE संख्या CVE-2026-6663
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-05-12
स्रोत URL CVE-2026-6663

GWD Conex में टूटी हुई एक्सेस नियंत्रण (<= 2.9): वर्डप्रेस साइट के मालिकों को अब क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ | दिनांक: 2026-05-11

श्रेणियाँ: वर्डप्रेस सुरक्षा, कमजोरियों की सलाह, WAF मार्गदर्शन • टैग: GWD Conex, CVE-2026-6663, टूटी हुई एक्सेस नियंत्रण, WAF, वर्चुअल पैचिंग

कार्यकारी सारांश

GWD Conex वर्डप्रेस प्लगइन (संस्करण <= 2.9) में एक टूटी हुई एक्सेस नियंत्रण की कमजोरी है जिसे CVE-2026-6663 के रूप में ट्रैक किया गया है। एक अनधिकृत हमलावर प्लगइन व्यवहार को सक्रिय कर सकता है जो, कुछ शर्तों के तहत, सीमित सर्वर-साइड कोड निष्पादन की अनुमति देता है। CVSS 4.8 (कम) है और आवश्यक विशेषाधिकार अनधिकृत है। हालांकि संख्यात्मक गंभीरता कम है, यह समस्या बड़े पैमाने पर शोषण अभियानों में दुरुपयोग की जा सकती है जिससे कई साइटों को जल्दी से समझौता किया जा सकता है।.

यह सलाह दोष की प्रकृति, संभावित हमलावर दृष्टिकोण, पहचान संकेतक, तत्काल शमन जो आप लागू कर सकते हैं, और जोखिम को कम करने के लिए रक्षात्मक नियंत्रण (जिसमें वर्डप्रेस-जानकारी WAF वर्चुअल पैचिंग शामिल है) को समझाती है जबकि एक स्थायी समाधान तैयार किया जा रहा है।.

महत्वपूर्ण: यदि आप GWD Conex प्लगइन का उपयोग करने वाली वर्डप्रेस साइटों की मेज़बानी या प्रबंधन करते हैं, तो इसे प्रभावित इंस्टॉलेशन की समीक्षा और मजबूत करने के लिए प्राथमिकता के रूप में मानें, भले ही आधिकारिक पैच अभी उपलब्ध न हो।.

यह कमजोरी क्या है?

  • प्रभावित सॉफ़्टवेयर: GWD Conex वर्डप्रेस प्लगइन (ग्राफिक वेब डिज़ाइन इंक.), संस्करण ≤ 2.9
  • सुरक्षा दोष का प्रकार: टूटा हुआ एक्सेस नियंत्रण (OWASP A01)
  • CVE: CVE-2026-6663
  • आवश्यक विशेषाधिकार: अनधिकृत (लॉगिन की आवश्यकता नहीं)
  • CVSS: 4.8 (कम)
  • प्रभाव: कुछ शर्तों के तहत सर्वर पर सीमित कोड निष्पादन सक्षम करने वाली प्लगइन कार्यक्षमता का अनधिकृत सक्रियण
  • प्रकाशन पर स्थिति: प्रभावित संस्करणों के लिए कोई आधिकारिक पैच उपलब्ध नहीं है

टूटी हुई एक्सेस नियंत्रण का अर्थ है कि एक एंडपॉइंट या आंतरिक फ़ंक्शन प्रमाणीकरण, क्षमता जांच, या नॉनस सत्यापन को लागू करने में विफल रहता है। यहाँ, अनुपस्थित या अपर्याप्त प्राधिकरण एक हमलावर को विशेषाधिकार प्रवाह के लिए अभिप्रेत कार्यों को कॉल करने की अनुमति देता है, जो अनपेक्षित फ़ाइल लेखन या निष्पादन पथों की ओर ले जा सकता है।.

यह क्यों महत्वपूर्ण है - यहां तक कि “कम” CVSS के साथ

  • अनधिकृत पहुंच: कोई प्रमाणपत्र आवश्यक नहीं है, इसलिए कोई भी कमजोर साइट सार्वजनिक स्कैनिंग और स्वचालित हमलों के लिए उजागर है।.
  • स्वचालन-अनुकूल: अवसरवादी स्कैनर और बॉट ऐसे एंडपॉइंट की तलाश करते हैं और बड़े पैमाने पर शोषण का प्रयास करते हैं।.
  • सीमित कोड निष्पादन अभी भी गंभीर है: यहां तक कि सीमित निष्पादन को स्थायीता (वेब शेल), खाता निर्माण, या विशेषाधिकार वृद्धि में परिवर्तित किया जा सकता है, जो पर्यावरण पर निर्भर करता है।.
  • अज्ञात निर्भरताएँ: अन्य प्लगइन्स, होस्टिंग कॉन्फ़िगरेशन, या कस्टम कोड प्रभाव को बढ़ा सकते हैं।.

संक्षेप में: एक्सेस-नियंत्रण विफलताओं को गंभीरता से लें। ये बड़े समझौतों के लिए सामान्य प्रारंभिक प्रवेश वेक्टर हैं।.

हमलावर इसको कैसे भुनाने की कोशिश कर सकते हैं (उच्च स्तर)

नीचे एक उच्च-स्तरीय हमले का प्रवाह है। कोई प्रमाण-को-धारणा या चरण-दर-चरण शोषण विवरण प्रदान नहीं किए गए हैं।.

  1. यह पुष्टि करने के लिए कि GWD Conex मौजूद है (सार्वजनिक फ़ाइलें, प्लगइन हेडर) एक साइट की फिंगरप्रिंट करें।.
  2. प्लगइन से संबंधित सार्वजनिक एंडपॉइंट और AJAX/REST पथों की जांच करें।.
  3. ऐसे एंडपॉइंट्स पर बिना प्रमाणीकरण के अनुरोध भेजें जिनमें एक्सेस जांच की कमी है, प्रशासनिक प्रवाह को ट्रिगर करने वाले पैरामीटर प्रदान करें।.
  4. यदि इनपुट प्रोसेसिंग कोड निष्पादन या फ़ाइल लेखन की अनुमति देती है (उदाहरण के लिए असुरक्षित eval-जैसी लॉजिक या लिखने योग्य PHP फ़ाइलों के माध्यम से), तो हमलावर को एक पैर जमाने का मौका मिलता है।.
  5. हमलावर स्थिरता (वेब शेल, क्रोनजॉब, बैकडोर फ़ाइलें) और आगे की पार्श्व क्रियाएँ करने का प्रयास करता है।.

चूंकि यह एक एक्सेस-नियंत्रण समस्या है, ठोस प्रभाव फ़ाइल अनुमतियों, होस्ट प्रतिबंधों, और अन्य स्थापित घटकों पर निर्भर करता है।.

पहचान और समझौते के संकेत

यदि आप GWD Conex चलाते हैं (<= 2.9), तो इसके लिए निगरानी करें:

  • प्लगइन एंडपॉइंट्स पर अप्रत्याशित POST अनुरोध — असामान्य IPs से प्लगइन पथों, admin-ajax.php, या REST मार्गों के लिए वेब सर्वर लॉग की जांच करें।.
  • ऐसे अनाम अनुरोध जो सामान्यतः प्रशासनिक क्रियाओं से संबंधित पैरामीटर शामिल करते हैं।.
  • अपलोड, प्लगइन, थीम निर्देशिकाओं, या wp-content रूट में नए या संशोधित PHP फ़ाइलें; संदिग्ध अनुरोधों के बाद अजीब टाइमस्टैम्प।.
  • अपरिचित ईमेल के साथ नए प्रशासनिक उपयोगकर्ता।.
  • डेटाबेस में संदिग्ध अनुसूचित कार्य (क्रोन प्रविष्टियाँ) (wp_options, wp_cron)।.
  • सर्वर से असामान्य आउटबाउंड ट्रैफ़िक या अप्रत्याशित DNS समाधान।.
  • अस्पष्ट कोड, बेस64 ब्लॉब, या इनलाइन PHP जहाँ पहले कोई नहीं था।.
  • प्लगइन सेटिंग्स, रीडायरेक्ट्स, या साइट के विकृतियों में अप्रत्याशित परिवर्तन।.

शिकार के लिए फ़ाइल अखंडता निगरानी, सर्वर लॉग, और होस्टिंग नियंत्रण पैनल का उपयोग करें। प्रारंभिक पहचान क्षति और पुनर्प्राप्ति के दायरे को कम करती है।.

तात्कालिक शमन: साइट-स्तरीय कदम जो आपको अभी उठाने चाहिए।

यदि आप संवेदनशील GWD Conex संस्करण के साथ साइटों का प्रबंधन करते हैं, तो ये तात्कालिक कार्रवाई करें:

  1. प्रभावित साइटों की सूची बनाएं
    GWD Conex के साथ सभी वर्डप्रेस इंस्टॉलेशन की पहचान करें। WP-CLI (wp plugin list) या अपने प्रबंधन उपकरणों का उपयोग करें।.
  2. प्राथमिकता दें
    पहले उच्च-मूल्य, उच्च-ट्रैफ़िक, ईकॉमर्स, या ग्राहक-डेटा साइटों पर ध्यान केंद्रित करें।.
  3. प्लगइन को निष्क्रिय करें (यदि संभव हो)।
    जब कोई पैच मौजूद नहीं है, तो निष्क्रियता संवेदनशील एंडपॉइंट्स को हटा देती है और यह सबसे सुरक्षित तात्कालिक कार्रवाई है।.
  4. यदि हटाना संभव नहीं है, तो पहुंच को प्रतिबंधित करें।
    वेब सर्वर स्तर पर प्लगइन एंडपॉइंट्स को प्रतिबंधित करें (पथ द्वारा अस्वीकार करें) या एक WAF के माध्यम से; जांच के दौरान साइटों को रखरखाव मोड में रखें।.
  5. साइट का बैकअप लें
    परिवर्तनों से पहले पूर्ण फ़ाइल+DB बैकअप लें और फोरेंसिक्स के लिए एक ऑफ़लाइन कॉपी रखें।.
  6. कुंजी और प्रमाणपत्रों को घुमाएँ
    व्यवस्थापक पासवर्ड, API कुंजी, और किसी भी रहस्यों को बदलें जिन तक प्लगइन पहुंच सकता है; यदि समझौता होने का संदेह हो तो वर्डप्रेस सॉल्ट्स को घुमाएँ।.
  7. समझौते के लिए स्कैन करें
    मैलवेयर और फ़ाइल-इंटीग्रिटी स्कैन करें; अपलोड, wp-config.php, और प्लगइन/थीम फ़ाइलों की जांच करें।.
  8. लॉग और ट्रैफ़िक की निगरानी करें
    जांच करते समय विस्तारित लॉगिंग सक्षम करें और संरक्षण बढ़ाएँ।.
  9. यदि सर्वर-स्तरीय संकेत दिखाई दें तो अपने होस्ट से संपर्क करें।
    यदि आप वेब शेल, अप्रत्याशित क्रोनजॉब, या अज्ञात प्रक्रियाएँ पाते हैं, तो होस्टिंग प्रदाता को सूचित करें और साइट को ऑफ़लाइन करने पर विचार करें।.
  10. यदि आवश्यक हो तो पुनर्निर्माण की योजना बनाएं।
    लगातार या गहरे समझौते अक्सर एक सत्यापित स्वच्छ बैकअप से पुनर्स्थापना या ज्ञात-स्वच्छ स्रोतों से साइट का पुनर्निर्माण करने की आवश्यकता होती है।.

अपने वर्डप्रेस संपत्ति पर इन हार्डनिंग नियंत्रणों को लागू करें ताकि भविष्य में जोखिम को कम किया जा सके:

  • वर्डप्रेस कोर, प्लगइन्स और थीम को अपडेट रखें; स्टेजिंग में परीक्षण करें और तुरंत लागू करें।.
  • .htaccess या वेब सर्वर नियमों के माध्यम से wp-content/uploads में PHP निष्पादन को अक्षम करें।.
  • फ़ाइलों/फोल्डरों के लिए न्यूनतम विशेषाधिकार लागू करें और समर्पित तैनाती खातों का उपयोग करें।.
  • डैशबोर्ड में प्लगइन/थीम फ़ाइल संपादन को अक्षम करें (DISALLOW_FILE_EDIT = true)।.
  • प्रशासनिक पहुंच को मजबूत करें: जहां संभव हो, IP व्हाइटलिस्टिंग करें, सभी प्रशासनिक खातों के लिए 2FA लागू करें, साझा प्रशासनिक खातों से बचें।.
  • मजबूत क्रेडेंशियल्स का उपयोग करें और नियमित रूप से API कुंजियों को घुमाएं; जब उपयुक्त हो, तो सॉल्ट को ताज़ा करें।.
  • सुनिश्चित करें कि कस्टम कोड नॉनसेस और क्षमता जांच (current_user_can) सर्वर-साइड को मान्य करता है।.
  • शोषण की कठिनाई बढ़ाने के लिए सुरक्षा हेडर (सामग्री सुरक्षा नीति, SameSite कुकीज़) लागू करें।.
  • बार-बार, ऑफ-साइट बैकअप बनाए रखें और पुनर्स्थापना प्रक्रियाओं का परीक्षण करें।.
  • लॉगिंग और निगरानी (फ़ाइल परिवर्तन पहचान, IDS) लागू करें और अलर्ट को संचालन में एकीकृत करें।.

एक वर्डप्रेस-जानकारी वाला WAF कैसे मदद करता है

एक वर्डप्रेस-जानकारी वाला वेब एप्लिकेशन फ़ायरवॉल महत्वपूर्ण सुरक्षा प्रदान कर सकता है जबकि आप पूर्ण अपडेट की योजना बनाते हैं और परीक्षण करते हैं। उपयोगी WAF क्षमताओं में शामिल हैं:

  • वर्चुअल पैचिंग: अनुरोध पैटर्न को अवरुद्ध या स्वच्छ करें जो कमजोर कार्यक्षमता को ट्रिगर करते हैं बिना प्लगइन कोड को बदले।.
  • अनधिकृत पहुंच को अवरुद्ध करें: उन एंडपॉइंट्स पर अनधिकृत POST/GET अनुरोधों को अस्वीकार करें जिन्हें सुरक्षित किया जाना चाहिए।.
  • दर सीमित करना और प्रतिष्ठा: बार-बार अनुरोधों को थ्रॉटल करें और स्वचालित स्कैन/शोषण के प्रभाव को कम करें।.
  • पेलोड विश्लेषण: संदिग्ध पेलोड्स का पता लगाएं और अवरुद्ध करें (इनलाइन PHP, base64, eval-जैसे पैटर्न)।.
  • व्यवहार पहचान: स्थायीता प्राप्त करने से पहले शोषण के लिए विशिष्ट स्टॉप अनुक्रम (प्रोब → ट्रिगर → लिखें)।.
  • लॉगिंग और टेलीमेट्री: घटना जांच का समर्थन करने के लिए पूर्ण अनुरोध संदर्भ कैप्चर करें।.

नीचे वैचारिक नियम विचार दिए गए हैं जिन्हें आप अनुकूलित और परीक्षण कर सकते हैं। झूठे सकारात्मक से बचने के लिए अपने वातावरण के लिए नियमों को समायोजित करें।.

उदाहरण WAF नियम विचार (रक्षात्मक)

  • प्लगइन प्रशासन अंत बिंदुओं पर बिना प्रमाणीकरण वाले POST को ब्लॉक करें:
    यदि एक POST /wp-admin/admin-ajax.php इसमें एक शामिल है क्रिया ज्ञात प्लगइन प्रशासन क्रियाओं से मेल खाता है (जैसे, gwd_conex_*) और अनुरोध में एक मान्य वर्डप्रेस ऑथ कुकी या नॉनस की कमी है, तो ब्लॉक करें और लॉग करें।.
  • प्रमाणीकरण न होने पर सीधे REST पहुंच को अस्वीकार करें:
    यदि /wp-json/gwd-conex/* को बिना मान्य ऑथ टोकन या कुकी के एक्सेस किया जाता है, तो 403 लौटाएं।.
  • संदिग्ध फ़ाइल-लिखने के पैटर्न को ब्लॉक करें:
    यदि एक अनुरोध में <?php, eval(, या लंबे बेस64 ब्लॉब जहां सामान्य पाठ की अपेक्षा की जाती है, ब्लॉक करें और अलर्ट करें।.
  • दर सीमा और फिंगरप्रिंट स्कैनिंग:
    प्रति IP प्लगइन अंत बिंदु अनुरोधों की सीमा निर्धारित करें और जो ग्राहक थ्रेशोल्ड को पार करते हैं उन्हें अस्थायी रूप से ब्लॉक करें।.
  • लिखने योग्य निर्देशिकाओं की रक्षा करें:
    PHP फ़ाइलों को लिखने का प्रयास करने वाले अनुरोधों को अस्वीकार करें 16. WP क्रॉन में अप्रत्याशित अनुसूचित घटनाएँ जो अपरिचित कोड को निष्पादित करती हैं। जब तक वे प्रमाणीकरण किए गए वर्डप्रेस अपलोड प्रवाह से उत्पन्न नहीं होते।.
# वैकल्पिक छद्म-नियम

व्यापक तैनाती से पहले ट्रैफ़िक के एक उपसमुच्चय पर नियमों का परीक्षण करें।.

पहचान नियम और क्या लॉग करना है

सुनिश्चित करें कि आपका लॉगिंग और अलर्ट में शामिल हैं:

  • admin-ajax.php और ज्ञात प्लगइन REST मार्गों के लिए सभी अनुरोध पूर्ण हेडर और POST पेलोड के साथ (गोपनीयता कानूनों का सम्मान करें)।.
  • किसी भी अवरुद्ध अनुरोध जो आभासी पैच हस्ताक्षरों से मेल खाता है।.
  • प्लगइन और अपलोड निर्देशिकाओं में फ़ाइल-प्रणाली परिवर्तन (पिछले और नए हैश)।.
  • नए प्रशासक उपयोगकर्ताओं का निर्माण।.
  • PHP प्रक्रियाओं द्वारा आरंभ की गई आउटबाउंड कनेक्शन।.

अनुक्रमित लॉग, अलर्ट थ्रेशोल्ड, और रखरखाव नीतियाँ शोषण को जल्दी पहचानने में मदद करती हैं।.

यदि आप समझौता खोजते हैं तो घटना प्रतिक्रिया चेकलिस्ट

  1. सीमित करें
    साइट को रखरखाव मोड में डालें या सार्वजनिक पहुंच को अक्षम करें; सार्वजनिक एंडपॉइंट्स को उजागर करने वाले प्लगइन्स को अस्थायी रूप से अक्षम करें।.
  2. साक्ष्य को संरक्षित करें
    फोरेंसिक विश्लेषण के लिए पूर्ण बैकअप और स्नैपशॉट लें; जब तक आपके पास एक प्रति न हो, तब तक समझौता किए गए फ़ाइलों को संशोधित करने से बचें।.
  3. समाप्त करें
    वेब शेल, बैकडोर, अनधिकृत व्यवस्थापक खाते, और दुर्भावनापूर्ण कोड को हटा दें; समझौता की गई फ़ाइलों को स्वच्छ प्रतियों से बदलें।.
  4. पुनर्प्राप्त करें
    सत्यापित स्वच्छ बैकअप से पुनर्स्थापित करें और उत्पादन में लौटने से पहले पूर्ण स्कैन चलाएँ।.
  5. सुरक्षा बढ़ाएं और पैच करें।
    सॉफ़्टवेयर को अपडेट करें, अनुमतियों को कड़ा करें, और पुनः-शोषण को रोकने के लिए अस्थायी ब्लॉकिंग नियम लागू करें।.
  6. घटना के बाद
    क्रेडेंशियल्स को घुमाएँ, यदि डेटा उजागर हुआ है तो प्रभावित उपयोगकर्ताओं को सूचित करें, और एक मूल कारण विश्लेषण करें।.

अपने होस्टिंग प्रदाता के साथ समन्वय करें और यदि गहरे या लगातार समझौते के संकेत हैं तो पेशेवर घटना प्रतिक्रिया पर विचार करें।.

क्यों आपको केवल “पैच का इंतजार करें” पर भरोसा नहीं करना चाहिए

अपस्ट्रीम पैच आदर्श हैं, लेकिन व्यावहारिक बाधाएँ अपडेट में देरी कर सकती हैं: विक्रेता रिलीज़ समय, अनुकूलन जो अपडेट के साथ टूटते हैं, और संगठनात्मक परिवर्तन नियंत्रण। परतदार नियंत्रण - पहुँच प्रतिबंध, आभासी पैचिंग, निगरानी, और समय पर बैकअप - प्रकटीकरण और परीक्षण किए गए फिक्स के बीच की खिड़की के दौरान जोखिम को कम करते हैं।.

दीर्घकालिक कार्यक्रम: भविष्य के जोखिम को कम करें

  • प्लगइन्स और संस्करणों का एक सटीक सूची बनाए रखें।.
  • आप जिन घटकों का उपयोग करते हैं, उनके लिए कमजोरियों की सूचनाओं की सदस्यता लें।.
  • स्टेजिंग में अपडेट्स का पूर्व-परीक्षण करें और जहां संभव हो, तैनातियों को स्वचालित करें।.
  • नए प्लगइन्स के लिए सुरक्षा बुनियादी चेकलिस्ट अपनाएं (क्षमता जांच, नॉनसेस और इनपुट हैंडलिंग की समीक्षा करें)।.
  • न्यूनतम विशेषाधिकार वाले खातों का उपयोग करें और प्लगइन्स को अतिरिक्त अधिकार देने से बचें।.
  • घटना प्लेबुक बनाएं और अपनी टीम के साथ टेबलटॉप अभ्यास करें।.

समापन नोट्स — व्यावहारिक निष्कर्ष

  • यदि आप GWD Conex (≤ 2.9) चला रहे हैं, तो इसे एक क्रियाशील सलाह के रूप में मानें: प्रभावित साइटों की पहचान करें, उनका बैकअप लें, और या तो प्लगइन को निष्क्रिय करें या तुरंत पहुंच प्रतिबंध लागू करें।.
  • जब आप अपस्ट्रीम फिक्स तैयार और परीक्षण कर रहे हों, तो त्वरित वर्चुअल पैचिंग और निगरानी के लिए एक वर्डप्रेस-जानकारी वाला WAF का उपयोग करें।.
  • स्तरित रक्षा और निरंतर निगरानी लागू करें ताकि एकल दोष व्यापक समझौते का कारण न बने।.
  • अपनी घटना प्रतिक्रिया योजना को अद्यतित रखें और नियमित रूप से बैकअप का परीक्षण करें।.

यदि आप कई साइटों का प्रबंधन करते हैं और वर्चुअल पैचिंग, WAF नियमों, या घटना पुनर्प्राप्ति योजना को लागू करने में सहायता की आवश्यकता है, तो अनुभवी घटना प्रतिक्रिया देने वालों से संपर्क करें या अपने होस्टिंग प्रदाता की सुरक्षा सेवाओं से परामर्श करें।.

सतर्क रहें — पहुंच-नियंत्रण बग को तत्काल स्वच्छता के रूप में मानें, भले ही संख्यात्मक गंभीरता कम प्रतीत हो।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

सामुदायिक सुरक्षा चेतावनी XSS क्रेडिट शॉर्टकोड में (CVE20266256)

अगला लेख —

एक्सेस दुरुपयोग के खिलाफ HEL ऑनलाइन कक्षा को सुरक्षित करना (CVE20266708)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा चेतावनी वास्तविक स्थान वृद्धि (CVE20258218)

  • अगस्त 18, 2025
वर्डप्रेस रियल स्पेस - वर्डप्रेस प्रॉपर्टीज डायरेक्टरी थीम प्लगइन <= 3.5 - 'change_role_member' भेद्यता के माध्यम से प्रशासक के लिए प्रमाणित (सदस्य+) विशेषाधिकार वृद्धि
Wवर्डप्रेस भेद्यता डेटाबेस

वर्डप्रेस कंटेंट लॉकिंग में सामुदायिक चेतावनी XSS (CVE20261320)

  • फरवरी 16, 2026
वर्डप्रेस सुरक्षित कॉपी कंटेंट प्रोटेक्शन और कंटेंट लॉकिंग प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)