| प्लगइन का नाम | IMS काउंटडाउन |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2024-11755 |
| तात्कालिकता | कम |
| CVE प्रकाशन तिथि | 2026-02-03 |
| स्रोत URL | CVE-2024-11755 |
तत्काल: IMS काउंटडाउन (≤ 1.3.5) में संग्रहीत XSS — वर्डप्रेस साइट के मालिकों और डेवलपर्स को अब क्या करना चाहिए
प्रकाशित: 3 फरवरी 2026
एक हांगकांग सुरक्षा विशेषज्ञ का सारांश: IMS काउंटडाउन प्लगइन (संस्करण ≤ 1.3.5) में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का खुलासा किया गया था (CVE-2024-11755)। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार हैं, प्लगइन-प्रबंधित सामग्री में स्थायी जावास्क्रिप्ट इंजेक्ट कर सकता है; वह स्क्रिप्ट बाद में अन्य उपयोगकर्ताओं—जिसमें प्रशासक या आगंतुक शामिल हैं—द्वारा प्रभावित सामग्री को देखने पर निष्पादित हो सकती है। इसे गंभीरता से लें और जल्दी कार्रवाई करें।.
त्वरित सारांश (TL;DR)
- IMS काउंटडाउन (≤ 1.3.5) में संग्रहीत XSS एक योगदानकर्ता को स्थायी जावास्क्रिप्ट पेलोड इंजेक्ट करने की अनुमति देता है।.
- IMS काउंटडाउन 1.3.6 में ठीक किया गया — तुरंत उस संस्करण या बाद के संस्करण में अपडेट करें।.
- यदि आप तुरंत अपडेट नहीं कर सकते: प्लगइन को निष्क्रिय करें, योगदानकर्ता विशेषाधिकारों को सीमित करें, संदिग्ध सामग्री की खोज करें, संवेदनशील क्रेडेंशियल्स को बदलें, और लक्षित शमन लागू करें।.
- दीर्घकालिक: इनपुट स्वच्छता और एस्केपिंग, क्षमता जांच, और स्तरित रक्षा (CSP, निगरानी, और WAF जहां लागू हो) को लागू करें।.
क्या हुआ (तकनीकी अवलोकन)
संग्रहीत XSS तब होता है जब अनुप्रयोग द्वारा अविश्वसनीय इनपुट को सहेजा जाता है और बाद में उचित एस्केपिंग के बिना प्रस्तुत किया जाता है। IMS काउंटडाउन (≤ 1.3.5) के लिए:
- प्लगइन प्रमाणित उपयोगकर्ताओं (योगदानकर्ता या उच्च) से सामग्री स्वीकार करता है।.
- इनपुट को सहेजने या प्रस्तुत करने से पहले उचित रूप से स्वच्छ नहीं किया गया था, जिससे HTML/JavaScript स्थायी हो गया।.
- कोई भी उपयोगकर्ता जो पृष्ठ, विजेट, व्यवस्थापक पूर्वावलोकन, या डैशबोर्ड पैनल को देखता है जो संग्रहीत डेटा को प्रदर्शित करता है, हमलावर की स्क्रिप्ट को निष्पादित कर सकता है।.
- शोषण के लिए एक लॉगिन किया हुआ योगदानकर्ता इंजेक्शन करने की आवश्यकता होती है; प्रकाशित सामग्रियों में रिपोर्ट किया गया CVSS लगभग 6.5 है।.
योगदानकर्ता ऐसी सामग्री बना सकते हैं जो कभी-कभी प्रशासकों या जनता के लिए दृश्य संदर्भों में प्रस्तुत की जाती है (शॉर्टकोड, पूर्वावलोकन, विजेट), यही कारण है कि यह विशेषाधिकार स्तर महत्वपूर्ण है।.
वास्तविक दुनिया के प्रभाव परिदृश्य
- खाता अधिग्रहण: स्क्रिप्ट प्रशासकों द्वारा निष्पादित होने पर कुकीज़ या टोकन को निकाल सकती हैं।.
- विकृति और स्पैम: इंजेक्ट की गई स्क्रिप्ट अवांछित सामग्री प्रदर्शित कर सकती हैं, रीडायरेक्ट बना सकती हैं, या छिपे हुए लिंक डाल सकती हैं।.
- आपूर्ति-श्रृंखला जोखिम: हाईजैक की गई प्रशासक सत्रों का उपयोग अन्य सिस्टम में दुर्भावनापूर्ण कोड डालने के लिए किया जा सकता है।.
- क्रेडेंशियल हार्वेस्टिंग और फ़िशिंग: नकली व्यवस्थापक संकेत विशेषाधिकार प्राप्त क्रेडेंशियल्स को कैप्चर कर सकते हैं।.
- प्रतिष्ठा और SEO प्रभाव: दुर्भावनापूर्ण रीडायरेक्ट या सामग्री काली सूचीकरण या खोज दंड का कारण बन सकती है।.
यहां तक कि एक छोटा विजेट भी एक उच्च-प्रभाव वाला वेक्टर हो सकता है क्योंकि पेलोड आगंतुकों या व्यवस्थापकों के ब्राउज़रों में निष्पादित होता है।.
किसे जोखिम है?
- साइटें जिनमें IMS Countdown स्थापित और संस्करण ≤ 1.3.5 पर सक्रिय है।.
- साइटें जो योगदानकर्ता स्तर के पंजीकरण या बाहरी योगदानकर्ताओं की अनुमति देती हैं।.
- साइटें जो योगदानकर्ता द्वारा प्रदान की गई सामग्री को व्यवस्थापक पूर्वावलोकनों, विजेट्स, या सार्वजनिक पृष्ठों में अतिरिक्त जांच के बिना प्रदर्शित करती हैं।.
तात्कालिक कार्रवाई (अगले 1–24 घंटों में क्या करें)
- तुरंत प्लगइन को 1.3.6 (या बाद में) पर अपडेट करें।. यह अंतिम समाधान है। उत्पादन पर तुरंत अपडेट लागू करें या आपातकालीन रखरखाव विंडो निर्धारित करें।.
- यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्लगइन को निष्क्रिय करें।. निष्क्रियता प्लगइन के रेंडरिंग कोड को संग्रहीत पेलोड्स को उजागर करने से रोकती है। यदि विजेट आवश्यक है, तो इसे अस्थायी रूप से स्थिर सामग्री से बदलें।.
- योगदानकर्ता अपलोड और इनपुट को लॉक करें।. नए योगदानकर्ता पंजीकरण को निष्क्रिय करें या उनकी सार्वजनिक रूप से या व्यवस्थापकों द्वारा सामग्री बनाने की क्षमता को सीमित करें।.
- संदिग्ध संग्रहीत सामग्री के लिए खोजें।. काउंटडाउन प्रविष्टियों, शॉर्टकोड, पोस्ट मेटा, और प्लगइन-विशिष्ट तालिकाओं की जांच करें।
