Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सामुदायिक चेतावनी WooCommerce एक्सेस दोष(CVE202632586)

WooCommerce प्लगइन के लिए WordPress बूस्टर में टूटी हुई एक्सेस नियंत्रण
0
शेयर
0
0
0
0
प्लगइन का नाम WooCommerce के लिए WordPress बूस्टर
कमजोरियों का प्रकार एक्सेस नियंत्रण
CVE संख्या CVE-2026-32586
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-03-17
स्रोत URL CVE-2026-32586

Broken Access Control in Booster for WooCommerce (< 7.11.3): What Store Owners Must Do Now

द्वारा: हांगकांग सुरक्षा विशेषज्ञ

हाल ही में प्रकट हुई टूटी हुई एक्सेस नियंत्रण की सुरक्षा कमजोरी (CVE-2026-32586) जो WooCommerce के लिए बूस्टर के संस्करण 7.11.3 से पहले प्रभावित करती है, अनधिकृत कार्यकर्ताओं को विशेषाधिकार प्राप्त क्रियाएँ करने की अनुमति देती है। यह लेख जोखिम, पहचान और स्टोर ऑपरेटरों और डेवलपर्स के लिए उपयुक्त स्पष्ट, प्राथमिकता वाले कदमों में चरण-दर-चरण समाधान को समझाता है।.

त्वरित तथ्य (TL;DR)

  • प्रभावित सॉफ़्टवेयर: WooCommerce के लिए बूस्टर प्लगइन
  • प्रभावित संस्करण: 7.11.3 से पहले का कोई भी संस्करण
  • सुरक्षा कमजोरी वर्ग: टूटी हुई एक्सेस नियंत्रण (विशेषाधिकार प्राप्त क्रिया का अनधिकृत निष्पादन)
  • CVE: CVE-2026-32586
  • CVSS (रिपोर्ट किया गया): 5.3 (मध्यम)
  • तात्कालिक समाधान: WooCommerce के लिए बूस्टर को 7.11.3 या बाद के संस्करण में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो नीचे सूचीबद्ध अस्थायी शमन लागू करें।.
  • शमन विकल्प: विक्रेता पैच लागू करें, प्लगइन या मॉड्यूल को निष्क्रिय करें जो एंडपॉइंट को उजागर करता है, और अनधिकृत एक्सेस को प्रतिबंधित करने के लिए सर्वर-स्तरीय या WAF सुरक्षा का उपयोग करें।.

WordPress प्लगइन्स में टूटी हुई एक्सेस नियंत्रण को समझना

टूटी हुई एक्सेस नियंत्रण तब होती है जब एक एप्लिकेशन यह सत्यापित करने में विफल रहता है कि क्या कॉलर को दिए गए कार्य को करने के लिए अधिकृत किया गया है। WordPress प्लगइन्स में यह सामान्यतः इस प्रकार प्रकट होता है:

  • AJAX (admin-ajax.php) या REST API एंडपॉइंट जो उचित क्षमता जांच या नॉनस सत्यापन के बिना विशेषाधिकार प्राप्त क्रियाएँ करते हैं।.
  • सार्वजनिक एंडपॉइंट जो संवेदनशील परिवर्तनों (उत्पाद की कीमतें, आदेश की स्थिति, प्रशासन सेटिंग्स) की अनुमति देते हैं बिना यह पुष्टि किए कि अनुरोध अधिकृत उपयोगकर्ता से आया है।.
  • अनुपस्थित प्रमाणीकरण जांच जो अनधिकृत आगंतुकों को उन क्रियाओं को सक्रिय करने की अनुमति देती हैं जो केवल प्रशासकों के लिए निर्धारित हैं।.

WooCommerce स्टोर के लिए, आदेश, उत्पाद, मूल्य निर्धारण, या स्टोर कॉन्फ़िगरेशन को बदलने वाले एंडपॉइंट उच्च-मूल्य वाले लक्ष्य होते हैं। इस प्रकटीकरण में बूस्टर प्लगइन के भीतर एक फ़ंक्शन में प्राधिकरण जांच की कमी थी, जिससे अनधिकृत अनुरोधों को उच्च-विशेषाधिकार प्राप्त क्रियाएँ सक्रिय करने की अनुमति मिली। विक्रेता ने आवश्यक जांच जोड़ने के लिए एक पैच (7.11.3) जारी किया है। इसे ट्रैफ़िक मात्रा की परवाह किए बिना तात्कालिकता के रूप में मानें—जन-शोषण स्कैनर प्रकटीकरण के बाद व्यापक रूप से जांच करते हैं।.

यह आपके स्टोर के लिए क्यों महत्वपूर्ण है

यहां तक कि “मध्यम” रेटिंग वाली कमजोरियाँ भी महत्वपूर्ण व्यावसायिक नुकसान का कारण बन सकती हैं:

  • वित्तीय हानि: आदेश हेरफेर, धोखाधड़ी वाले आदेश, मूल्य परिवर्तन और डेटा चोरी के कारण रिफंड, चार्जबैक और सीधे नुकसान हो सकते हैं।.
  • प्रतिष्ठा को नुकसान: ग्राहक का विश्वास नाजुक होता है; एक समझौता विश्वास को कमजोर करता है।.
  • SEO और व्यवसाय पर प्रभाव: दुर्भावनापूर्ण रीडायरेक्ट, स्पैम इंजेक्शन या छिपे हुए लिंक के परिणामस्वरूप डि-इंडेक्सिंग हो सकती है।.
  • वृद्धि: हमलावर एक पैर जमाने का उपयोग कर बैकडोर स्थापित कर सकते हैं, व्यवस्थापक उपयोगकर्ता बना सकते हैं या अन्य सिस्टम में स्थानांतरित हो सकते हैं।.

क्योंकि यहां शोषण बिना प्रमाणीकरण के किया जा सकता है, स्वचालित हमले सीधे और तेज होते हैं—तत्काल समाधान की आवश्यकता होती है।.

यथार्थवादी हमले के परिदृश्य

नीचे संभावित दुरुपयोग के मामले हैं जो इस प्रकार के टूटे हुए पहुंच नियंत्रण का शोषण करते हैं। आपकी सटीक जोखिम आपकी बूस्टर कॉन्फ़िगरेशन और सक्षम मॉड्यूल पर निर्भर करती है।.

  1. पैमाने पर डेटा संशोधन: धोखाधड़ी या मूल्य स्क्रैपिंग को सुविधाजनक बनाने के लिए कीमतें, SKU या इन्वेंटरी को बदला जा सकता है।.
  2. आदेश हेरफेर: आदेशों को पूरा के रूप में चिह्नित किया जा सकता है, बदला जा सकता है या धोखाधड़ी पूर्णता को सक्षम करने के लिए दुर्भावनापूर्ण लाइन आइटम के साथ इंजेक्ट किया जा सकता है।.
  3. विशेषाधिकार वृद्धि और खाता निर्माण: यदि उपयोगकर्ता भूमिकाएँ या खाता-संबंधित विकल्प संशोधित किए जा सकते हैं, तो हमलावर खाते बना या बढ़ा सकते हैं।.
  4. बैकडोर स्थापना: विशेषाधिकार प्राप्त क्रियाएँ फ़ाइलें अपलोड करने, कार्य निर्धारित करने या PHP शेल छोड़ने के लिए श्रृंखला में जोड़ी जा सकती हैं।.
  5. आपूर्ति श्रृंखला और डाउनस्ट्रीम दुरुपयोग: समझौता किए गए स्टोर मैलवेयर, फ़िशिंग पृष्ठों की मेज़बानी कर सकते हैं या ग्राहकों को दुर्भावनापूर्ण कोड वितरित कर सकते हैं।.

स्वचालित स्कैनर आमतौर पर सार्वजनिक खुलासों के बाद चलते हैं; तुरंत अपने हमले की सतह को कम करें।.

संभावित शोषण का पता कैसे लगाएं (समझौते के संकेत)

यह निर्धारित करने के लिए इन संकेतकों की जांच करें कि क्या आपकी साइट को लक्षित या शोषित किया गया है:

  • वेब सर्वर / एक्सेस लॉग: POST अनुरोधों में वृद्धि /wp-admin/admin-ajax.php या उन समयों में REST अंत बिंदुओं पर जब आपने व्यवस्थापक कार्य नहीं किए; एकल IP से बार-बार अनुरोध।.
  • 1. असामान्य AJAX/REST ट्रैफ़िक: 2. बिना प्रमाणीकरण कुकीज़ या नॉनस टोकन के admin-ajax.php पर POST; अपरिचित या एंडपॉइंट पैरामीटर के साथ अनुरोध जो प्लगइन मॉड्यूल को संदर्भित करते हैं। क्रिया= 3. उपयोगकर्ता खाता विसंगतियाँ:.
  • 4. नए प्रशासक जिन्हें आपने नहीं बनाया; भूमिकाओं या क्षमताओं में परिवर्तन। 5. सामग्री और डेटा छेड़छाड़:.
  • 6. उत्पाद शीर्षकों, कीमतों, SKU या इन्वेंटरी में अप्रत्याशित संपादन; संदिग्ध आदेश। 7. फ़ाइल प्रणाली और अनुसूचित कार्य:.
  • 8. हाल ही में संशोधित PHP फ़ाइलें जिन्हें आपने संपादित नहीं किया; अज्ञात क्रॉन कार्य या संदिग्ध wp_options प्रविष्टियाँ। 9. मैलवेयर स्कैनर निष्कर्ष:.
  • 10. बैकडोर हस्ताक्षर, अस्पष्ट फ़ाइलें, या थीम/प्लगइन फ़ाइलों में कोड इंजेक्शन। 11. यदि आप इन संकेतों को देखते हैं, तो साइट को संभावित रूप से समझौता किया हुआ मानें और एक घटना हैंडलिंग कार्यप्रवाह का पालन करें: अलग करें, सीमित करें, लॉग/बैकअप को संरक्षित करें, और सुधार करें।.

12. प्राथमिकता के क्रम में निम्नलिखित चरणों को निष्पादित करें। सबसे तेज़ समाधान विक्रेता पैच लागू करना है; यदि यह तुरंत संभव नहीं है, तो नीचे दिए गए शमन का उपयोग करें।.

तात्कालिक कार्रवाई (पहले 60 मिनट)

13. WooCommerce के लिए Booster को 7.11.3 या बाद के संस्करण में अपडेट करें।.

  1. 14. यह अंतिम समाधान है। आधिकारिक प्लगइन भंडार या प्लगइन के अपडेट तंत्र से अपडेट लागू करें।. 15. यदि आप तुरंत अपडेट नहीं कर सकते, तो उजागर कार्यक्षमता को निष्क्रिय करें।.
  2. 16. WooCommerce के लिए Booster प्लगइन को व्यवस्थापक प्लगइन्स पृष्ठ के माध्यम से निष्क्रिय करें या इसे अस्थायी रूप से निष्क्रिय करने के लिए SFTP के माध्यम से प्लगइन फ़ोल्डर का नाम बदलें।. 17. सर्वर-स्तरीय या WAF सुरक्षा लागू करें।.
  3. 18. अपडेट लागू होने तक प्लगइन एंडपॉइंट्स और Booster से संबंधित प्रशासन AJAX/REST एंडपॉइंट्स पर बिना प्रमाणीकरण वाले अनुरोधों को ब्लॉक करें (नीचे नियम अवधारणाएँ देखें)।. 19. एक पूर्ण मैलवेयर स्कैन चलाएँ, फ़ाइल टाइमस्टैम्प की जाँच करें, और संदिग्ध अनुरोधों के लिए लॉग की समीक्षा करें।.
  4. समझौते के संकेतों के लिए स्कैन करें।. एक पूर्ण मैलवेयर स्कैन चलाएँ, फ़ाइल टाइमस्टैम्प की जाँच करें, और संदिग्ध अनुरोधों के लिए लॉग की समीक्षा करें।.
  5. यदि संदिग्ध गतिविधि का पता चलता है तो क्रेडेंशियल्स रीसेट करें।. यदि आप विशेषाधिकार के दुरुपयोग का संदेह करते हैं तो व्यवस्थापक पासवर्ड, API कुंजी और वर्डप्रेस सॉल्ट (wp-config.php में) बदलें।.
  6. यदि आवश्यक हो तो एक साफ बैकअप से पुनर्स्थापित करें।. यदि सुधार विश्वसनीय रूप से परिवर्तनों को हटा नहीं सकता है, तो ज्ञात-साफ बैकअप पर पुनर्स्थापित करें और फिर पैच लागू करें।.

यदि आप तुरंत अपडेट नहीं कर सकते हैं तो अस्थायी उपाय करें।

जब तत्काल अपडेट करना व्यावहारिक नहीं है, तो हमले की सतह को कम करें और स्वचालित शोषण को ब्लॉक करें:

  • प्लगइन को निष्क्रिय करें (प्राथमिकता दी गई अस्थायी उपाय)।.
  • पहुँच को प्रतिबंधित करने के लिए सर्वर नियमों का उपयोग करें।. POSTs को प्रतिबंधित या अस्वीकार करें /wp-admin/admin-ajax.php और अनधिकृत उपयोगकर्ताओं के लिए विशिष्ट REST एंडपॉइंट्स को .htaccess, nginx कॉन्फ़िगरेशन या WAF के माध्यम से।.
  • संदिग्ध ट्रैफ़िक की दर-सीमा और भू-प्रतिबंध लगाएं।. संदिग्ध IP रेंज या पुनरावृत्ति स्कैनरों को अस्थायी रूप से ब्लॉक या सीमित करें।.
  • सार्वजनिक REST एंडपॉइंट्स को प्रतिबंधित करें।. यदि बूस्टर एक पूर्वानुमानित नामस्थान के तहत REST एंडपॉइंट्स को उजागर करता है (जैसे. /wp-json/booster/), तो सर्वर नियमों के माध्यम से पहुँच को ब्लॉक करें या उपलब्ध फ़िल्टर/हुक के माध्यम से एंडपॉइंट को निष्क्रिय करें।.
  • कस्टम एकीकरण को मजबूत करें।. सुनिश्चित करें कि आपका थीम और कस्टम कोड संवेदनशील क्रियाएँ करने से पहले स्पष्ट current_user_can() जांच और नॉनस मान्यताएँ करते हैं।.

ये उपाय जोखिम को कम करते हैं लेकिन विक्रेता पैच लागू करने का विकल्प नहीं बनाते।.

सामान्य WAF नियम अवधारणाएँ (सुरक्षित उदाहरण)

नीचे उच्च-स्तरीय WAF नियम विचार दिए गए हैं जिन्हें आप लागू कर सकते हैं; सटीक सिंटैक्स आपके फ़ायरवॉल या वेब सर्वर पर निर्भर करता है:

  • संदिग्ध क्रियाओं के लिए बिना प्रमाणीकरण वाले admin-ajax POST को ब्लॉक करें
    • शर्तें: अनुरोध पथ मेल खाता है /wp-admin/admin-ajax.php, विधि POST है, कोई wordpress_logged_in_ कुकी नहीं, अनुरोध शरीर में प्लगइन-विशिष्ट पैरामीटर नाम होते हैं जैसे बूस्टर या बूस्टर_.
    • क्रिया: ब्लॉक या चुनौती (CAPTCHA)।.
  • बिना प्रमाणीकरण के प्लगइन नामस्थान के लिए REST कॉल को ब्लॉक करें
    • शर्तें: पथ मेल खाता है /wp-json/{plugin-namespace}/.*, कोई प्रमाणीकरण टोकन या कुकी नहीं।.
    • क्रिया: ब्लॉक या चुनौती।.
  • पुनरावृत्त अनुरोधों को थ्रॉटल करें
    • शर्तें: एक ही IP से X से अधिक अनुरोध admin-ajax.php Y सेकंड के भीतर।.
    • क्रिया: दर-सीमा या अस्थायी ब्लॉक।.
  • संशोधन क्रियाओं के लिए मान्य WP nonce की आवश्यकता है
    • शर्तें: विकल्पों/आदेशों/उत्पादों को संशोधित करने का प्रयास करने वाले अनुरोध जिनमें अनुपस्थित या अमान्य nonce है।.
    • क्रिया: ब्लॉक करें।.

यदि आप एक WAF या वेब सर्वर नियम सेट का संचालन करते हैं, तो इन प्रतिबंधों को अस्थायी सुरक्षा के रूप में लागू करें जब तक कि प्लगइन अपडेट लागू न हो जाए। गलत सकारात्मक से बचने के लिए जहां संभव हो, नियमों का परीक्षण गैर-उत्पादन वातावरण में करें।.

  1. अपनी साइट का बैकअप लें (फाइलें और डेटाबेस)।.
  2. WooCommerce के लिए Booster को 7.11.3+ पर अपडेट करें; यदि आपके पास जटिल कस्टमाइजेशन हैं तो स्टेजिंग में सत्यापित करें।.
  3. एक प्रतिष्ठित मैलवेयर स्कैनर के साथ समझौता के लिए स्कैन करें।.
  4. admin-ajax.php, REST एंडपॉइंट्स या प्लगइन-विशिष्ट URLs के लिए अनexplained POSTs के लिए एक्सेस और एप्लिकेशन लॉग की समीक्षा करें।.
  5. यदि संदिग्ध गतिविधि पाई जाती है तो क्रेडेंशियल्स और कीज़ को घुमाएं (एडमिन पासवर्ड, API कीज़, डेटाबेस क्रेडेंशियल्स)।.
  6. उपयोगकर्ता खातों का निरीक्षण करें और अज्ञात प्रशासकों को हटा दें।.
  7. अज्ञात अनुसूचित कार्यों या क्रोन इवेंट्स की जांच करें और उन्हें हटा दें।.
  8. साफ बैकअप या मूल प्लगइन/थीम फाइलों के खिलाफ तुलना करके फ़ाइल की अखंडता की पुष्टि करें; संदिग्ध फ़ाइलों को बदलें।.
  9. सफाई की पुष्टि करने के लिए मैलवेयर स्कैन और पैठ जांच फिर से चलाएं।.
  10. मजबूत करें और निगरानी करें: WAF सुरक्षा, निरंतर स्कैनिंग और अलर्टिंग सक्षम करें; जहां संभव हो, कम जोखिम वाले पैच के लिए ऑटो-अपडेट पर विचार करें।.

अपने लॉग में खोजने के लिए संकेतक (IOCs)

निम्नलिखित सामान्य पैटर्न की तलाश करें; प्लगइन पैरामीटर भिन्न हो सकते हैं:

  • POST करना /wp-admin/admin-ajax.php बिना wordpress_logged_in_ कुकी और पैरामीटर जो शामिल हैं बूस्टर या बूस्टर_ या असामान्य क्रिया नाम।.
  • POST/GET /wp-json/ एंडपॉइंट्स जो प्लगइन नामस्थान से मेल खाते हैं।.
  • बार-बार wc-ajax कॉल जो एकल IPs या छोटे IP रेंज से उत्पन्न होते हैं।.
  • एडमिन एंडपॉइंट्स के लिए 4xx/5xx प्रतिक्रियाओं में अचानक वृद्धि।.

यदि आपको संदिग्ध गतिविधि मिले, तो जांच के लिए लॉग, आईपी, उपयोगकर्ता एजेंट और टाइमस्टैम्प को संरक्षित करें।.

घटना के बाद की वसूली और रोकथाम

सुधार के बाद, भविष्य के जोखिम को कम करने के लिए उपाय लागू करें:

  • WordPress कोर, थीम और प्लगइन्स को अद्यतित रखें।.
  • उत्पादन धकेलने से पहले स्टेजिंग पर स्टेज्ड अपडेट प्रक्रिया और सुरक्षा परीक्षण का उपयोग करें।.
  • प्रशासनिक उपयोगकर्ताओं के लिए मल्टी-फैक्टर प्रमाणीकरण सक्षम करें।.
  • सभी उपयोगकर्ताओं और एकीकरणों के लिए न्यूनतम विशेषाधिकार लागू करें।.
  • तृतीय-पक्ष प्लगइन्स का नियमित ऑडिट करें और अप्रयुक्त या बिना रखरखाव वाले प्लगइन्स को हटा दें।.
  • लॉग की निगरानी करें और संदिग्ध गतिविधि के लिए अलर्ट सेट करें।.
  • नियमित, परीक्षण किए गए बैकअप और एक रोलबैक योजना बनाए रखें।.

दीर्घकालिक सख्ती: स्टोर के लिए प्लगइन शासन

जोखिम को कम करने के लिए एक प्लगइन शासन मॉडल अपनाएं:

  • व्यवसाय की महत्वपूर्णता के अनुसार प्लगइन्स की सूची बनाएं और वर्गीकृत करें।.
  • नए प्लगइन्स के लिए सुरक्षा समीक्षा की आवश्यकता: अंतिम अपडेट तिथि, सक्रिय इंस्टॉलेशन, चेंज लॉग और विक्रेता की प्रतिक्रिया।.
  • संगतता मुद्दों को पकड़ने के लिए स्वचालित परीक्षण और स्टेजिंग नीतियों को लागू करें।.
  • उन प्लगइन्स को हटा दें या बदलें जो अब सक्रिय रूप से बनाए नहीं रखे जा रहे हैं।.
  • कस्टम कोड में स्पष्ट क्षमता जांच और इनपुट मान्यता का उपयोग करें।.
  • एक परीक्षण किया गया रोलबैक योजना और नियमित बैकअप बनाए रखें।.

अंतिम चेकलिस्ट (प्रिंट करने योग्य / त्वरित क्रियाएँ)

  • [ ] साइट का बैकअप (फाइलें + डेटाबेस)।.
  • [ ] WooCommerce के लिए बूस्टर को 7.11.3 या उच्चतर पर अपडेट करें।.
  • [ ] यदि आप अपडेट नहीं कर सकते, तो तुरंत प्लगइन को निष्क्रिय करें।.
  • [ ] सर्वर-स्तरीय पहुँच प्रतिबंध या WAF नियम लागू करें ताकि admin-ajax और प्लगइन REST एंडपॉइंट्स पर अनधिकृत पहुँच को रोका जा सके।.
  • [ ] समझौते के संकेतों के लिए स्कैन करें और संदिग्ध admin-ajax या REST कॉल के लिए लॉग की समीक्षा करें।.
  • [ ] यदि संदिग्ध गतिविधि पाई जाती है तो पासवर्ड और API कुंजियाँ बदलें।.
  • [ ] सत्यापित करें कि कोई अज्ञात प्रशासन उपयोगकर्ता या अनुसूचित कार्य मौजूद नहीं हैं।.
  • [ ] सुधार के बाद पुनः स्कैन करें और आवर्ती स्कैन का कार्यक्रम बनाएं।.
  • [ ] दीर्घकालिक सख्ती लागू करें (MFA, स्टेजिंग, न्यूनतम विशेषाधिकार)।.

समापन विचार

ई-कॉमर्स प्लगइन्स में टूटे हुए पहुँच नियंत्रण कमजोरियाँ उच्च-मूल्य के लक्ष्य हैं क्योंकि वे सीधे मौद्रिक चोरी, डेटा लीक और निरंतर समझौतों को सक्षम कर सकते हैं। जब एक विक्रेता एक पैच जारी करता है—जैसे कि इस मामले में—इसे तुरंत लागू करें और, जहाँ आवश्यक हो, अपडेट विंडो के दौरान जोखिम को कम करने के लिए सर्वर-स्तरीय या WAF सुरक्षा के साथ पूरक करें।.

यदि आप हांगकांग या APAC क्षेत्र में स्टोर का प्रबंधन करते हैं, तो सुनिश्चित करें कि आपने बैकअप और पुनर्प्राप्ति प्रक्रियाओं का परीक्षण किया है और एक स्पष्ट घटना प्रतिक्रिया योजना है। त्वरित, विधिपूर्वक क्रियाएँ महत्वपूर्ण हैं: प्लगइन्स की सूची बनाएं, बैकअप का परीक्षण करें, और जब तत्काल पैच संभव न हो तो अस्थायी शमन लागू करें।.

सतर्क रहें और तुरंत पैच करें।.

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग सुरक्षा फॉर्मिडेबल फॉर्म्स एक्सेस कंट्रोल(CVE20262890)

अगला लेख —

हांगकांग की वेबसाइटों को भयानक शोषणों (CVE20262888) से सुरक्षित करना

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

बीवर बिल्डर परावर्तित क्रॉस साइट स्क्रिप्टिंग कमजोरियाँ (CVE20258897)

  • अगस्त 28, 2025
वर्डप्रेस बीवर बिल्डर प्लगइन (लाइट संस्करण) प्लगइन <= 2.9.2.1 - परावर्तित क्रॉस-साइट स्क्रिप्टिंग कमजोरियाँ