Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाहकार XSS in AddFunc (CVE20262305)

वर्डप्रेस AddFunc Head & Footer Code प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0





AddFunc Head & Footer Code XSS (CVE-2026-2305) — What WordPress Site Owners Need to Know


प्लगइन का नाम AddFunc हेड और फुटर कोड
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2026-2305
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-04-10
स्रोत URL CVE-2026-2305

AddFunc हेड और फुटर कोड XSS (CVE-2026-2305): वर्डप्रेस साइट मालिकों को क्या जानना चाहिए

दिनांक: 10 अप्रैल 2026 — गंभीरता: कम (CVSS 6.5) — प्रभावित संस्करण: ≤ 2.3 — पैच किया गया: 2.4 — आवश्यक विशेषाधिकार: योगदानकर्ता (प्रमाणित)

सारांश: AddFunc हेड और फुटर कोड (संस्करण 2.3 तक) में एक प्रमाणित संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) समस्या एक योगदानकर्ता-स्तरीय उपयोगकर्ता को कस्टम फ़ील्ड के माध्यम से स्क्रिप्ट-जैसे पेलोड्स को सहेजने की अनुमति देती है, जो बाद में अस्वच्छ रूप से प्रस्तुत किए जा सकते हैं। यह नोट एक हांगकांग स्थित सुरक्षा विशेषज्ञ के दृष्टिकोण से जोखिम, पहचान, सफाई और शमन कदमों का व्यावहारिक, प्रैक्टिशनर-केंद्रित विश्लेषण प्रदान करता है।.

कार्यकारी सारांश — क्या हुआ और यह क्यों महत्वपूर्ण है

  • प्लगइन ने पोस्ट कस्टम फ़ील्ड से उपयोगकर्ता-प्रदत्त सामग्री को पर्याप्त स्वच्छता या एस्केपिंग के बिना आउटपुट में शामिल करने की अनुमति दी।.
  • एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार हैं (जो पोस्ट बनाने या संपादित करने और कस्टम फ़ील्ड जोड़ने में सक्षम हैं) स्क्रिप्ट टैग या इवेंट हैंडलर्स वाली सामग्री को सहेज सकता है।.
  • यदि वह सामग्री बाद में फ्रंट-एंड पर या प्रशासनिक स्क्रीन के अंदर उचित एस्केपिंग के बिना प्रस्तुत की जाती है, तो संग्रहीत स्क्रिप्ट दर्शक के ब्राउज़र में निष्पादित होती है।.
  • प्रभाव प्रस्तुत संदर्भ पर निर्भर करता है:
    • फ्रंट-एंड निष्पादन आगंतुकों को प्रभावित कर सकता है (दुष्ट रीडायरेक्ट, फॉर्म स्पूफिंग, क्रिप्टो-माइनर इंजेक्शन, सामग्री हेरफेर)।.
    • प्रशासनिक पृष्ठों में निष्पादन उच्च विशेषाधिकार वाले उपयोगकर्ताओं को लक्षित कर सकता है और खाता अधिग्रहण, सेटिंग्स में परिवर्तन, प्लगइन/थीम संशोधन, या बैकडोर का कारण बन सकता है।.
  • प्लगइन को संस्करण 2.4 में पैच किया गया था। 2.4+ में अपडेट करना सही और प्राथमिक सुधार है।.

योगदानकर्ता क्यों खतरनाक हो सकता है — वास्तविक दुनिया का खतरा मॉडल

साइट के मालिक अक्सर मानते हैं कि योगदानकर्ता कम जोखिम वाले होते हैं क्योंकि वे प्रकाशित नहीं कर सकते। यह प्रकाशन कार्यप्रवाह के लिए सच है, लेकिन योगदानकर्ता आमतौर पर पोस्ट बना सकते हैं, ड्राफ्ट संपादित कर सकते हैं और कस्टम फ़ील्ड जोड़ सकते हैं (साइट कॉन्फ़िगरेशन की अनुमति)। कस्टम फ़ील्ड में संग्रहीत XSS खतरनाक है क्योंकि पेलोड स्थायी है और जब भी इसे बिना एस्केपिंग के प्रस्तुत किया जाता है, यह निष्पादित होगा।.

मुख्य बिंदु:

  • स्थिरता: दुष्ट सामग्री डेटाबेस में संग्रहीत होती है और बाद में ट्रिगर की जा सकती है।.
  • विशेषाधिकार वृद्धि: यदि प्रशासनिक उपयोगकर्ता डैशबोर्ड में संक्रमित सामग्री को देखते हैं, तो एक हमलावर प्रशासन के प्रमाणित सत्र का उपयोग करके पिवट कर सकता है।.
  • वास्तविक हमले के वेक्टर में CSRF को XSS के साथ मिलाकर विशेषाधिकार प्राप्त क्रियाएँ करना शामिल है (प्रशासनिक खाते बनाना, विकल्प बदलना, कोड स्थापित करना)।.

सामान्य शोषण प्रवाह (उच्च स्तर, गैर-क्रियाशील)

  1. हमलावर एक योगदानकर्ता खाता पंजीकृत करता है या समझौता करता है।.
  2. हमलावर एक पोस्ट या ड्राफ्ट सहेजता है और एक कस्टम फ़ील्ड में दुर्भावनापूर्ण सामग्री इंजेक्ट करता है (जैसे, या onerror=… जैसे एट्रिब्यूट पेलोड)।.
  3. सामग्री पोस्टमेटा में संग्रहीत होती है।.
  4. जब पोस्ट एक संदर्भ में प्रदर्शित होता है जो फ़ील्ड को अस्वच्छ रूप से आउटपुट करता है (फ्रंट-एंड, प्रशासन पूर्वावलोकन, मेटा बॉक्स), तो ब्राउज़र जावास्क्रिप्ट को निष्पादित करता है।.
  5. यदि एक प्रशासक प्रभावित प्रशासन स्क्रीन को देखता है, तो स्क्रिप्ट प्रशासक के सत्र का उपयोग करके विशेषाधिकार प्राप्त क्रियाएँ कर सकती है (कुकीज़ निकालना, प्रशासक उपयोगकर्ता बनाना, फ़ाइलें संशोधित करना, बैकडोर स्थापित करना)।.

कुछ सलाहकार “उपयोगकर्ता इंटरैक्शन आवश्यक” सूचीबद्ध करते हैं - व्यावहारिक रूप से इंटरैक्शन पोस्ट संपादक खोलने या एक तैयार पूर्वावलोकन लिंक के रूप में सरल हो सकता है।.

अपनी साइट की सुरक्षा के लिए व्यावहारिक कदम - तात्कालिक क्रियाएँ (चेकलिस्ट)

  1. प्लगइन को अपडेट करें — यदि आप AddFunc हेड और फुटर कोड का उपयोग करते हैं, तो तुरंत 2.4 या बाद के संस्करण में अपडेट करें। यह मानक समाधान है।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते
    • अस्थायी रूप से प्लगइन को हटा दें या अक्षम करें।.
    • पैच होने तक योगदानकर्ताओं को कस्टम फ़ील्ड जोड़ने या संपादित करने से रोकें।.
    • यदि आपके पास वह क्षमता है तो WAF स्तर पर आभासी पैचिंग लागू करें (नीचे WAF मार्गदर्शन देखें)।.
  3. कस्टम फ़ील्ड में दुर्भावनापूर्ण सामग्री के लिए स्कैन करें

    मेटा मानों को खोजने के लिए WP-CLI या सीधे DB क्वेरीज़ (बैकअप के साथ) का उपयोग करें जो शामिल हैं

  4. Audit user accounts — Verify Contributors and Editors; remove stale or suspicious accounts. Enforce strong passwords and 2FA for privileged roles.
  5. Check for signs of compromise — unknown admin accounts, unexpected plugin/theme files, modified files, scheduled tasks, or outbound connections.
  6. Rotate credentials if compromise is suspected — reset admin passwords, revoke API keys, and invalidate sessions.
  7. Backup before cleanup — take a full files+DB backup before making remediation changes to preserve evidence and allow rollback.
  8. Harden custom fields — require sanitization on save and escaping on output (see developer guidance below).

How to find malicious stored XSS entries safely

Always work from a full backup and start with read-only queries to identify suspicious entries, then review them manually.

# Find postmeta that contains