Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह myCred XSS (CVE20260550)

वर्डप्रेस myCred प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0
प्लगइन का नाम myCred
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2026-0550
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-02-15
स्रोत URL CVE-2026-0550

तत्काल: myCred स्टोर्ड XSS (CVE-2026-0550) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

तारीख: 13 फरवरी 2026
लेखक: हांगकांग सुरक्षा विशेषज्ञ

सारांश

एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता जो myCred वर्डप्रेस प्लगइन (संस्करण ≤ 2.9.7.3) को प्रभावित करती है, का खुलासा किया गया और इसे CVE-2026-0550 सौंपा गया। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता (या उच्च) विशेषाधिकार हैं, एक स्थायी दुर्भावनापूर्ण पेलोड इंजेक्ट कर सकता है जो बाद में फ्रंट एंड पर प्रदर्शित होता है mycred_load_coupon शॉर्टकोड। यह समस्या myCred 2.9.7.4 में ठीक की गई है। यह सलाह तकनीकी जोखिम, संभावित शोषण पथ, पहचान रणनीतियाँ, और चरण-दर-चरण सुधार की प्रक्रिया को समझाती है - जिसमें तात्कालिक कठिनाई और आभासी पैचिंग विकल्प शामिल हैं।.

यदि आपके किसी भी वर्डप्रेस साइट पर myCred स्थापित है, तो इसे पूरी तरह से पढ़ें और अभी कार्रवाई करें।.

त्वरित तथ्य

  • प्रभावित प्लगइन: myCred (वर्डप्रेस)
  • कमजोर संस्करण: ≤ 2.9.7.3
  • ठीक किया गया संस्करण: 2.9.7.4
  • भेद्यता प्रकार: स्टोर किया गया क्रॉस-साइट स्क्रिप्टिंग (XSS)
  • शोषण के लिए आवश्यक विशेषाधिकार: योगदानकर्ता (प्रमाणित)
  • CVE: CVE-2026-0550
  • अनुमानित गंभीरता: मध्यम / CVSS 6.5 (प्रमाणित उपयोगकर्ता आवश्यक, लेकिन स्थायी XSS)
  • शोषण प्रभाव: हमलावर द्वारा प्रदान किए गए स्क्रिप्ट विज़िटर्स के ब्राउज़रों में निष्पादित होते हैं - संभावित खाता अधिग्रहण, सामग्री इंजेक्शन, फ़िशिंग, रीडायरेक्ट, और क्लाइंट-साइड शोषण
  • तात्कालिक शमन: प्लगइन को अपडेट करें; यदि तात्कालिक अपडेट संभव नहीं है, तो WAF नियमों के माध्यम से आभासी पैचिंग लागू करें और योगदानकर्ता क्षमताओं को सीमित करें

क्या हुआ — साधारण अंग्रेजी

myCred एक शॉर्टकोड को उजागर करता है (mycred_load_coupon) जो कूपन सामग्री प्रदर्शित करता है। कमजोर संस्करणों में, डेटा जो योगदानकर्ता बना सकते हैं, उसे ठीक से साफ/एस्केप नहीं किया जाता है इससे पहले कि उसे संग्रहीत या आउटपुट किया जाए। एक दुर्भावनापूर्ण योगदानकर्ता कूपन फ़ील्ड में मार्कअप या जावास्क्रिप्ट जोड़ सकता है जिसे शॉर्टकोड बाद में बिना बदले पृष्ठों में आउटपुट करता है। चूंकि पेलोड डेटाबेस में संग्रहीत होता है और जब विज़िटर्स शॉर्टकोड आउटपुट देखते हैं तो प्रदर्शित होता है, यह संग्रहीत XSS है - एक स्थायी क्लाइंट-साइड भेद्यता।.

संग्रहीत XSS विशेष रूप से खतरनाक है क्योंकि दुर्भावनापूर्ण सामग्री बनी रहती है और समय के साथ कई विज़िटर्स को प्रभावित कर सकती है, जिसमें प्रशासक और संपादक शामिल हैं जो डैशबोर्ड या फ्रंट एंड में प्रभावित पृष्ठ को देखते हैं।.

यह आपके लिए क्यों महत्वपूर्ण है

  1. योगदानकर्ता सामान्य हैं: कई साइटें बाहरी योगदानकर्ताओं, अतिथि लेखकों, सहयोगियों, या निम्न-विशेषाधिकार उपयोगकर्ताओं को सामग्री बनाने की अनुमति देती हैं। यदि आप उस भूमिका की अनुमति देते हैं, तो आपका जोखिम बढ़ जाता है।.
  2. संग्रहीत XSS विश्वसनीय उपयोगकर्ताओं को प्रभावित कर सकता है: प्रशासक और संपादक जो पृष्ठ देख रहे हैं, यदि एक हमलावर एक एक्सफिल्ट्रेशन पेलोड तैयार करता है तो उनके कुकीज़ या सत्र टोकन उजागर हो सकते हैं।.
  3. SEO और प्रतिष्ठा को नुकसान: दुर्भावनापूर्ण स्क्रिप्ट SEO स्पैम इंजेक्ट कर सकती हैं, विज़िटर्स को मैलवेयर/फ़िशिंग पृष्ठों पर रीडायरेक्ट कर सकती हैं, या अवांछित विज्ञापन प्रदर्शित कर सकती हैं।.
  4. पार्श्व वृद्धि: हमलावर XSS का उपयोग करके सत्र चोरी, CSRF, या विशेषाधिकार प्राप्त उपयोगकर्ताओं की सामाजिक इंजीनियरिंग के माध्यम से विशेषाधिकार बढ़ा सकते हैं।.

शोषण परिदृश्य - एक हमलावर क्या करेगा

  • हमलावर एक योगदानकर्ता खाता पंजीकृत करता है या एक मौजूदा योगदानकर्ता खाते का उपयोग करता है।.
  • वे एक कूपन बनाते या संपादित करते हैं और एक पेलोड एम्बेड करते हैं (जैसे,