Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा अलर्ट प्रिस्ना GWT XSS(CVE202412680)

वर्डप्रेस Prisna GWT – गूगल वेबसाइट ट्रांसलेटर प्लगइन में क्रॉस साइट स्क्रिप्टिंग (XSS)
0
शेयर
0
0
0
0
प्लगइन का नाम Prisna GWT – गूगल वेबसाइट अनुवादक
कमजोरियों का प्रकार क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या CVE-2024-12680
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-01-30
स्रोत URL CVE-2024-12680

CVE-2024-12680: Prisna GWT – गूगल वेबसाइट अनुवादक (≤ 1.4.13) में प्रशासक संग्रहीत XSS — वर्डप्रेस साइट मालिकों को क्या जानना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ · तारीख: 2026-01-30

TL;DR — एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE-2024-12680) Prisna GWT – गूगल वेबसाइट अनुवादक प्लगइन के 1.4.14 से पुराने संस्करणों को प्रभावित करती है। शोषण के लिए एक प्रमाणित प्रशासक की बातचीत की आवश्यकता होती है (उपयोगकर्ता इंटरैक्शन आवश्यक) लेकिन यह प्रशासक संदर्भ में स्क्रिप्ट निष्पादन का परिणाम कर सकता है। तुरंत 1.4.14 पर अपडेट करें, इंजेक्टेड स्क्रिप्ट के लिए डेटाबेस का ऑडिट करें, और WAF नियमों और प्रशासक खाता हार्डनिंग सहित अस्थायी शमन लागू करें।.

अवलोकन

1. 30 जनवरी 2026 को एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा दोष जो वर्डप्रेस प्लगइन “Prisna GWT – Google Website Translator” (संस्करण < 1.4.14) को प्रभावित करता है, प्रकाशित किया गया और इसे CVE-2024-12680 सौंपा गया। यह सुरक्षा दोष "Admin+ Stored XSS" के रूप में वर्गीकृत किया गया है - जिसका अर्थ है कि एक विशेषाधिकार प्राप्त खाता (प्रशासक) को लक्षित किया जा सकता है, और प्लगइन डेटा में सहेजा गया एक दुर्भावनापूर्ण पेलोड जब कुछ प्रशासनिक पृष्ठों या UI तत्वों को देखा या इंटरैक्ट किया जाता है, तो ब्राउज़र में निष्पादित होगा। 2. हालांकि इस सुरक्षा दोष की मूल गंभीरता मध्यम (CVSS 5.9) है, व्यावहारिक जोखिम आवश्यक विशेषाधिकार और उपयोगकर्ता इंटरैक्शन द्वारा सीमित है। हालाँकि, संग्रहीत प्रशासनिक XSS पोस्ट-शोषण क्रियाओं को सक्षम कर सकता है जैसे:.

3. "Admin Stored XSS" वास्तव में क्या है?

  • स्थिरता को सुविधाजनक बनाने के लिए प्रशासनिक जावास्क्रिप्ट का इंजेक्शन (जैसे, साइट विकल्पों को बदलना या बैकडोर पेश करना)
  • प्रशासकों के कुकीज़ या प्रमाणीकरण टोकन चुराना (सत्र अधिग्रहण)
  • अन्य दोषों के साथ श्रृंखला में आगे के स्वचालित हमलों या पार्श्व आंदोलन को ट्रिगर करना
  • क्रेडेंशियल्स को फ़िश करने या दुर्भावनापूर्ण रीडायरेक्ट पेश करने के लिए दुर्भावनापूर्ण प्रशासक UI तत्वों का इंजेक्शन

यह गाइड समस्या, सुरक्षित पहचान कदम, शमन विकल्प, और हांगकांग के सुरक्षा प्रैक्टिशनर के दृष्टिकोण से पुनर्प्राप्ति मार्गदर्शन को समझाती है।.

4. संग्रहीत XSS तब होता है जब उपयोगकर्ता द्वारा प्रदान किया गया डेटा सर्वर पर संग्रहीत होता है और बाद में उचित स्वच्छता या एन्कोडिंग के बिना उपयोगकर्ताओं को प्रस्तुत किया जाता है। “Admin Stored XSS” मामले में:

5. प्रभावित संस्करण: कोई भी संस्करण जो 1.4.14 से पुराना है (

  • पेलोड प्लगइन विकल्पों, प्रशासक सेटिंग्स, या अन्य सर्वर-पक्ष भंडारण में एक हमलावर (या एक समझौता किए गए प्रशासक खाते) द्वारा संग्रहीत किया जाता है।.
  • जब एक अन्य प्रशासक (या वही प्रशासक जो एक नियमित कार्य कर रहा है) एक प्लगइन प्रशासक पृष्ठ खोलता है, तो संग्रहीत स्क्रिप्ट उनके ब्राउज़र संदर्भ में निष्पादित होती है।.
  • क्योंकि यह प्रशासक के ब्राउज़र के भीतर और उस उपयोगकर्ता के विशेषाधिकार के साथ निष्पादित होता है, यह किसी भी क्रिया को करने में सक्षम हो सकता है जो उपयोगकर्ता UI के माध्यम से कर सकता है — जिसमें सेटिंग्स बदलना, थीम/प्लगइन फ़ाइलों को संपादित करना, नए उपयोगकर्ता बनाना आदि शामिल हैं।.

इस रिपोर्ट में, प्लगइन प्रशासक इनपुट को स्वीकार करता है जिसे प्रशासक UI में आउटपुट किए जाने से पहले अपर्याप्त रूप से साफ़ या एस्केप किया गया था।.

दायरा और प्रभावित संस्करण

  • प्रभावित प्लगइन: Prisna GWT – गूगल वेबसाइट अनुवादक
  • 6. प्रशासनिक के ब्राउज़र (क्लाइंट-साइड स्थिरता) को हेरफेर करके सर्वर-साइड सुरक्षा को दरकिनार करें< 1.4.14)
  • स्थिर किया गया: 1.4.14
  • CVE: CVE‑2024‑12680
  • आवश्यक विशेषाधिकार: व्यवस्थापक
  • उपयोगकर्ता इंटरैक्शन: आवश्यक (व्यवस्थापक को एक तैयार पृष्ठ या लिंक देखना/क्लिक करना होगा)
  • OWASP श्रेणी: A3 — इंजेक्शन (क्रॉस-साइट स्क्रिप्टिंग)
  • पैच प्राथमिकता: कम (लेकिन इसे जल्द से जल्द लागू करना अभी भी अनुशंसित है)

आपको अभी भी क्यों परवाह करनी चाहिए (भले ही इसके लिए व्यवस्थापक पहुंच की आवश्यकता हो)

कई साइटों का समझौता व्यवस्थापक क्रेडेंशियल चोरी या सामाजिक इंजीनियरिंग से शुरू होता है। हमलावर फ़िशिंग, पुन: उपयोग किए गए पासवर्ड, या समझौता किए गए डेवलपर उपकरणों के माध्यम से व्यवस्थापक क्रेडेंशियल प्राप्त कर सकते हैं। व्यवस्थापक UI में संग्रहीत XSS आकर्षक है क्योंकि यह हमलावरों को अनुमति देता है:

  • एकल समझौता किए गए व्यवस्थापक सत्र को कोड इंजेक्शन या कॉन्फ़िगरेशन परिवर्तनों के माध्यम से स्थायी नियंत्रण में बदलना
  • 7. स्क्रिप्ट प्रशासनिक के प्रमाणित सत्र के संदर्भ में कार्य करती है - विकल्प बदलना, उपयोगकर्ताओं को जोड़ना, टोकन निकालना, आदि।
  • सामाजिक इंजीनियरिंग का उपयोग करके एक व्यवस्थापक को एक तैयार URL लोड करने या एक विशिष्ट सेटिंग पृष्ठ खोलने के लिए धोखा देना

इसलिए, विशेषाधिकार की आवश्यकता के बावजूद, डाउनस्ट्रीम प्रभाव गंभीर हो सकते हैं।.

उच्च-स्तरीय शोषण प्रवाह (गैर-कार्यात्मक)

नोट: कोई शोषण कोड या चरण-दर-चरण हथियार बनाने के निर्देश प्रदान नहीं किए गए हैं।.

  1. एक विशेषाधिकार प्राप्त उपयोगकर्ता को एक तैयार व्यवस्थापक URL पर जाने या एक दुर्भावनापूर्ण इनपुट फ़ॉर्म के साथ इंटरैक्ट करने के लिए धोखा दिया जाता है।.
  2. हमलावर प्लगइन सेटिंग्स या विकल्प फ़ील्ड का उपयोग करके JavaScript को शामिल करने वाले एक पेलोड को संग्रहीत करता है।.
  3. जब एक व्यवस्थापक संबंधित प्लगइन व्यवस्थापक पृष्ठ खोलता है, तो ब्राउज़र संग्रहीत स्क्रिप्ट को निष्पादित करता है।.
  4. 8. XSS से सामान्यतः जुड़े संदिग्ध स्ट्रिंग्स के लिए डेटाबेस में खोजें:.

तात्कालिक सुधार कमजोर आउटपुट पथ को हटाना या पैच किए गए प्लगइन में अपडेट करना है।.

तत्काल कार्रवाई (अभी क्या करें)

यदि आप इस प्लगइन के साथ WordPress साइटें चलाते हैं, तो तुरंत ये कदम उठाएं:

  1. तुरंत अपडेट करें
    • उत्पादन, स्टेजिंग और विकास वातावरण में प्लगइन को संस्करण 1.4.14 (या बाद में) के लिए जल्द से जल्द अपडेट करें।.
    • यदि स्वचालित अपडेट सक्षम नहीं हैं, तो अपडेट का कार्यक्रम बनाएं और जहां संभव हो, अपडेट को केंद्रीकृत करें।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्लगइन को निष्क्रिय करें
    • प्लगइन को अस्थायी रूप से निष्क्रिय करें जब तक कि इसे अपडेट नहीं किया जा सकता। यह संवेदनशील प्रशासन UI आउटपुट को हटा देता है जहां संग्रहीत पेलोड निष्पादित हो सकते हैं।.
  3. प्रशासक खातों और सत्रों का ऑडिट करें
    • सभी प्रशासनिक खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें।.
    • सभी सक्रिय सत्रों को अमान्य करें (जहां उपलब्ध हो, सत्र प्रबंधन उपकरण या WP‑CLI का उपयोग करें)।.
    • सभी प्रशासकों के लिए दो-कारक प्रमाणीकरण (2FA) सक्षम करें।.
  4. इंजेक्टेड स्क्रिप्ट सामग्री के लिए स्कैन करें
    • XSS से सामान्यतः जुड़े संदिग्ध स्ट्रिंग्स के लिए डेटाबेस में खोजें:
    • Check plugin-specific options (wp_options rows with option_name matching the plugin’s keys), plus post_meta and term_meta areas the plugin may use.
    • Run searches on a staging copy to avoid accidental changes to production data.
  5. Use a Web Application Firewall (WAF) to create temporary protections
    • Add WAF rules to block admin POST requests that contain script tags or dangerous attributes.
    • Block requests with javascript: URIs or encoded script sequences (e.g. %3Cscript).
    • Prevent unauthenticated or low‑privilege users from accessing sensitive admin endpoints.
  6. Review and clean any detected injections
    • If you find injected scripts in the database, remove them carefully.
    • Consider restoring from a clean backup if you cannot confidently remove all malicious entries.
    • Rotate API keys and credentials stored in options after cleaning.

Detection: how to find signs of exploitation

Look for the following indicators:

  • New or modified administrator user accounts you did not create
  • Unexpected changes in plugin or theme files
  • Recent modifications to the site’s wp_options table entries linked to the translator plugin
  • HTML containing