सारांश

• भेद्यता: प्रमाणित (प्रशासक) संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)।.
• प्रभावित सॉफ़्टवेयर: AMP संवर्धक — आधिकारिक AMP प्लगइन के लिए संगतता परत, संस्करण ≤1.0.49।.
• CVE: CVE-2026-2027
• गंभीरता: मध्यम (रखरखावकर्ता रेटिंग CVSS 5.9)। वास्तविक दुनिया में प्रभाव हमलावर के प्रशासनिक खाते तक पहुंच पर निर्भर करता है।.
• शोषण पूर्वापेक्षाएँ: साइट पर प्रशासक विशेषाधिकार (या एक प्रशासक को दुर्भावनापूर्ण CSS को सहेजने के लिए मनाना)।.
• तत्काल शमन: प्लगइन को निष्क्रिय या हटा दें; डेटाबेस में संग्रहीत सेटिंग का निरीक्षण और स्वच्छ करें; प्रशासक खातों को प्रतिबंधित करें; पूर्ण सफाई की तैयारी करते समय दुर्भावनापूर्ण CSS पेलोड को ब्लॉक करने के लिए आभासी पैच / WAF नियम लागू करें।.
• पुनर्प्राप्ति: यदि समझौता होने का संदेह है, तो साइट को अलग करें, क्रेडेंशियल्स को बदलें, इंजेक्टेड सामग्री को स्कैन और हटा दें, और यदि आवश्यक हो तो एक स्वच्छ बैकअप से पुनर्स्थापित करें।.

यह संग्रहीत XSS क्यों महत्वपूर्ण है — भले ही केवल प्रशासक की आवश्यकताएँ हों

हालांकि शोषण के लिए एक प्रशासक को पेलोड सहेजने की आवश्यकता होती है, हमले की सतह अभी भी महत्वपूर्ण है:

• चुराए गए या फ़िश किए गए प्रशासक क्रेडेंशियल्स संग्रहीत XSS के माध्यम से एक स्थायी स्थिति की अनुमति देते हैं।.
• दुर्भावनापूर्ण ठेकेदार या अंदरूनी लोग जिनके पास प्रशासक पहुंच है, जानबूझकर पेलोड इंजेक्ट कर सकते हैं।.
• सामाजिक इंजीनियरिंग एक प्रशासक को छिपे हुए पेलोड वाले प्रतीत होने वाले वैध CSS को पेस्ट करने के लिए धोखा दे सकती है।.

संभावित परिणामों में सत्र चोरी, साइट-व्यापी रीडायरेक्ट, SEO विषाक्तता, बैकडोर स्क्रिप्ट इंजेक्शन, और प्रतिष्ठा को नुकसान शामिल हैं। चूंकि पेलोड एक कॉन्फ़िगरेशन में संग्रहीत होता है और साइट-व्यापी परोसा जाता है, एक सफल इंजेक्शन हर आगंतुक और प्रशासक को प्रभावित कर सकता है जो प्रभावित पृष्ठों को लोड करता है।.

समस्या कैसे काम करती है (तकनीकी अवलोकन)

1. प्लगइन एक “AMP कस्टम CSS” सेटिंग प्रदान करता है जहां प्रशासक AMP पृष्ठों के लिए CSS दर्ज कर सकते हैं।.
2. सेटिंग डेटाबेस में संग्रहीत होती है और बाद में AMP आउटपुट के लिए पृष्ठ मार्कअप में दर्शाई जाती है।.
3. अपर्याप्त सफाई इनपुट की अनुमति देती है जिसे ब्राउज़र द्वारा निष्पादन योग्य या CSS संदर्भ से बाहर निकलने योग्य के रूप में व्याख्यायित किया जा सकता है (उदाहरण के लिए, ऐसे निर्माण जो एक शैली ब्लॉक को बंद करते हैं या HTML पेश करते हैं)।.
4. क्योंकि सामग्री संग्रहीत होती है और आगंतुकों को आउटपुट की जाती है, XSS स्थायी (संग्रहीत) है और अगले पृष्ठ दृश्य पर निष्पादित होती है।.

नोट: आधुनिक ब्राउज़र और विरासती खामियां अप्रत्याशित अनुक्रमों को निष्पादन योग्य क्रियाओं में बदल सकती हैं जब उपयोगकर्ता-नियंत्रित डेटा को सुरक्षित एन्कोडिंग के बिना आउटपुट किया जाता है।.

वास्तविक शोषण परिदृश्य

• चुराए गए व्यवस्थापक क्रेडेंशियल्स: हमलावर लॉग इन करता है, AMP कस्टम CSS में दुर्भावनापूर्ण सामग्री चिपकाता है, और पेलोड आगंतुकों को परोसा जाता है।.
• सामाजिक इंजीनियरिंग: व्यवस्थापक को एक अविश्वसनीय स्रोत से “सिफारिश की गई CSS” चिपकाने के लिए मनाया जाता है जिसमें अस्पष्ट पेलोड होते हैं।.
• दुर्भावनापूर्ण अंदरूनी: एक कर्मचारी या ठेकेदार जिसे व्यवस्थापक पहुंच है, डेटा चुराने या साइट को बाधित करने के लिए एक पेलोड संग्रहीत करता है।.

संकेत कि आप पहले से ही प्रभावित हो सकते हैं

• पृष्ठ स्रोत या शैलियों के अंदर अप्रत्याशित इनलाइन जावास्क्रिप्ट या HTML टुकड़े।.
• साइट पृष्ठ बाहरी डोमेन पर पुनर्निर्देशित हो रहे हैं।.
• असामान्य डैशबोर्ड व्यवहार या अप्रत्याशित व्यवस्थापक सूचनाएं।.
• नए या अज्ञात व्यवस्थापक उपयोगकर्ता, संपादित पोस्ट/पृष्ठ जो आपने नहीं बनाए, संदिग्ध क्रोन कार्य, या संशोधित कोर/थीम/प्लगइन फ़ाइलें।.
• खोज इंजन चेतावनियाँ, ब्लैकलिस्टिंग, या असामान्य ट्रैफ़िक पैटर्न।.

यदि आप प्रभावित संस्करण का प्लगइन उपयोग करते हैं और इन संकेतों को देखते हैं, तो संभावित समझौते का अनुमान लगाएं और तुरंत containment कदम उठाएं।.

साइट मालिकों के लिए तत्काल कदम (क्रमबद्ध)

1. साइट को रखरखाव मोड में डालें या एक्सपोजर को कम करें: जांच करते समय अस्थायी रूप से सार्वजनिक पहुंच को प्रतिबंधित करें।.
2. AMP एन्हांसर प्लगइन को निष्क्रिय करें: सबसे सरल तत्काल समाधान यह है कि प्लगइन को निष्क्रिय या हटा दें ताकि यह संग्रहीत सामग्री को परोसना बंद कर दे।.
3. AMP कस्टम CSS सेटिंग की जांच करें और साफ करें:
   • उस प्लगइन विकल्प की जांच करें जहां कस्टम CSS संग्रहीत है (सामान्य कुंजी में शामिल हो सकते हैं amp_custom_css या प्लगइन-विशिष्ट विकल्प नामों)।.
   • यदि आपको अप्रत्याशित सामग्री मिलती है, तो इसे हटा दें या फ़ील्ड को खाली स्ट्रिंग पर सेट करें।.
   • उदाहरण WP-CLI: wp विकल्प प्राप्त करें amp_custom_css और साफ करने के लिए: wp विकल्प अपडेट करें amp_custom_css ''
   • SQL निरीक्षण उदाहरण (हमेशा पहले बैकअप लें):

   SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%amp%' OR option_value LIKE '%javascript:%' OR option_value LIKE '%<script%';

4. क्रेडेंशियल्स को घुमाएं और व्यवस्थापक पहुंच को लॉक करें:
   • सभी व्यवस्थापक खातों के लिए पासवर्ड रीसेट करें और मजबूत, अद्वितीय पासवर्ड लागू करें।.
   • जहां संभव हो, सभी व्यवस्थापकों के लिए दो-कारक प्रमाणीकरण की आवश्यकता करें।.
   • अज्ञात व्यवस्थापक उपयोगकर्ताओं को हटा दें या डाउनग्रेड करें।.
5. हाल की व्यवस्थापक गतिविधि की समीक्षा करें: यह जांचने के लिए ऑडिट लॉग की जांच करें कि किसने सेटिंग्स बदलीं; यदि अनुपस्थित हो तो लॉगिंग सक्षम करें।.
6. साइट को अन्य संकेतकों के लिए स्कैन करें: पूर्ण-साइट मैलवेयर स्कैन करें और पोस्ट, विकल्प, थीम फ़ाइलों और अपलोड में इंजेक्टेड कोड की जांच करें।.
7. बैकअप की समीक्षा करें: यदि आप समझौता का पता लगाते हैं और आत्मविश्वास से साफ नहीं कर सकते हैं, तो इंजेक्शन से पहले लिए गए ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.
8. अस्थायी उपाय के रूप में वर्चुअल पैचिंग / WAF नियम लागू करें: संदिग्ध पेलोड को सहेजने से रोकें और पहले से सहेजे गए पेलोड को क्लाइंट तक पहुँचने से रोकें (नीचे विवरण)।.
9. सफाई के बाद नियमित रूप से निगरानी और फिर से स्कैन करें ताकि पुनः संक्रमण या बार-बार होने वाले दुर्भावनापूर्ण परिवर्तनों का पता लगाया जा सके।.

AMP कस्टम CSS प्रविष्टि ढूंढना (WP-CLI और SQL)

संदिग्ध मानों को खोजने में मदद करने के लिए उदाहरण (यदि नहीं है तो तालिका उपसर्ग बदलें) wp_):

# WP-CLI (यदि आप विकल्प नाम जानते हैं) wp option get amp_custom_css;

हमेशा संदिग्ध सामग्री को उत्पादन से हटाने से पहले विश्लेषण के लिए एक सुरक्षित वातावरण में निर्यात करें।.

संग्रहीत सेटिंग का सुरक्षित सुधार

• खतरनाक संरचनाओं के लिए CSS की समीक्षा करें:
  • url(javascript: पैटर्न
  • अभिव्यक्ति(...) (विरासत IE)
  • -moz-binding या व्यवहार: गुण
  • एम्बेडेड HTML अंश जैसे </style>, <script>, या इवेंट हैंडलर जैसे त्रुटि होने पर=
  • HTML या JavaScript के साथ डेटा URI (data:text/html;)
• यदि सुनिश्चित नहीं हैं, तो क्षेत्र को पूरी तरह से साफ करें और केवल न्यूनतम, समीक्षा की गई CSS फिर से दर्ज करें।.
• अविश्वसनीय प्रशासन द्वारा दर्ज CSS पर निर्भर रहने के बजाय, महत्वपूर्ण स्टाइलिंग को संस्करण नियंत्रण के तहत थीम फ़ाइलों में स्थानांतरित करना और एक डेवलपर द्वारा समीक्षा करना पसंद करें।.

डेवलपर मार्गदर्शन: प्लगइन को सही तरीके से कैसे ठीक करें

प्लगइन रखरखाव करने वालों को सख्त इनपुट मान्यता और सुरक्षित आउटपुट एन्कोडिंग दोनों का उपयोग करना चाहिए:

1. सहेजने के समय इनपुट की पुष्टि करें:
   • मनमाने HTML या संरचनाओं को अस्वीकार करें जो शुद्ध CSS क्षेत्रों में मान्य नहीं हैं।.
   • अनुमति प्राप्त CSS गुणों और मान प्रारूपों की एक सख्त श्वेतसूची लागू करें, न कि काली सूचियों पर निर्भर रहें।.
   • ऐसे निर्माणों को ब्लॉक करें जैसे url(javascript:...), अभिव्यक्ति(...), -moz-binding, व्यवहार:, और डेटा URI जो HTML को एम्बेड करते हैं।.
2. आउटपुट पर साफ़ करें या एस्केप करें:
   • जब पृष्ठ में संग्रहीत CSS लिखें, तो सुनिश्चित करें कि यह शैली संदर्भ से बाहर नहीं निकल सकता। इसे सामान्य पाठ के रूप में मानें और उन वर्णों को एस्केप करें जो शैली ब्लॉक को बंद कर सकते हैं या HTML शुरू कर सकते हैं।.
   • सामग्री के लिए उपयुक्त सर्वर-साइड एस्केपिंग फ़ंक्शन का उपयोग करें जो <style> ब्लॉक्स।.
   • हमेशा क्षमता जांच (जैसे, current_user_can('manage_options') की पुष्टि करने में विफलता) और प्रशासनिक फ़ॉर्म और सहेजने पर नॉनस लागू करें।.
3. एक परीक्षणित CSS साफ़ करने वाली पुस्तकालय का उपयोग करें या एक सख्त श्वेतसूची दृष्टिकोण लागू करें और दुर्भावनापूर्ण अनुक्रमों के अस्वीकृति को सुनिश्चित करने के लिए यूनिट परीक्षण शामिल करें।.
4. रिग्रेशन और सामान्य XSS म्यूटेशन वेक्टर का पता लगाने के लिए निरंतर एकीकरण में स्वचालित परीक्षण और फज़िंग जोड़ें।.
5. दस्तावेज़ करें कि कस्टम CSS को कैसे संसाधित किया जाता है और प्रशासकों को अविश्वसनीय सामग्री चिपकाने के बारे में चेतावनी दें।.

WAF / आभासी पैचिंग (सामान्य मार्गदर्शन)

एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रतिक्रिया निरीक्षण परत एक मूल्यवान अल्पकालिक शमन है जबकि आधिकारिक प्लगइन अपडेट की प्रतीक्षा की जा रही है। सही तरीके से कॉन्फ़िगर की गई WAF नियम दुर्भावनापूर्ण CSS को सहेजने के प्रयासों को ब्लॉक कर सकती है और पहले से संग्रहीत पेलोड को ग्राहकों तक पहुँचने से रोक सकती है।.

WAF या एज फ़िल्टर के लिए उपयोगी क्रियाएँ:

• POST अनुरोधों को ब्लॉक करें जो प्लगइन के कस्टम CSS विकल्प को अपडेट करते हैं जब पेलोड स्पष्ट दुर्भावनापूर्ण पैटर्न (केस-संवेदनशील) को शामिल करते हैं: url(javascript:, अभिव्यक्ति(, -moz-binding, 9. या विशेषताओं जैसे onload=, त्रुटि होने पर=, या संदिग्ध डेटा URI।.
• आउटगोइंग प्रतिक्रियाओं का निरीक्षण करें और संदिग्ध अनुक्रमों को तटस्थ करें या हटा दें इससे पहले कि वे ब्राउज़रों तक पहुँचें।.
• अपरिचित आईपी से व्यवस्थापक अंत बिंदुओं को दर-सीमा या अवरुद्ध करें और सेटिंग्स को बदलने के लिए बार-बार प्रयास करने पर अलर्ट करें।.
• फोरेंसिक विश्लेषण में सहायता के लिए अवरुद्ध अनुरोधों के होने पर व्यवस्थापक खाते और स्रोत आईपी को लॉग करें।.

उदाहरण प्सेडो-रेगुलर एक्सप्रेशन पैटर्न (केवल चित्रण के लिए - झूठे सकारात्मक से बचने के लिए सावधानी से परीक्षण करें):

(?i)url\(\s*javascript:

नियमों को वैध CSS को अवरुद्ध करने से बचने के लिए समायोजित किया जाना चाहिए (उदाहरण के लिए, वैध url() छवियों के संदर्भ)। आधुनिक CSS में जिन संरचनाओं का कोई उचित वैध उपयोग नहीं है, उन पर ध्यान केंद्रित करें।.

पुनर्प्राप्ति चेकलिस्ट (यदि आपको समझौता होने का संदेह है)

1. आगे के नुकसान को सीमित करने के लिए साइट को अलग करें (रखरखाव मोड)।.
2. फोरेंसिक विश्लेषण के लिए पूर्ण बैकअप लें (डेटाबेस + फ़ाइलें)।.
3. दुर्भावनापूर्ण कलाकृतियों के लिए स्कैन करें: विकल्प, पोस्ट, थीम/प्लगइन फ़ाइलें, अपलोड और क्रॉन प्रविष्टियाँ।.
4. दुर्भावनापूर्ण सामग्री को हटा दें: प्रभावित विकल्प को साफ करें, परिवर्तित फ़ाइलों को विश्वसनीय स्रोतों से मूल फ़ाइलों के साथ बदलें।.
5. व्यवस्थापक पासवर्ड को घुमाएँ और एपीआई कुंजियों को रीसेट करें।.
6. उपयोगकर्ता खातों का ऑडिट करें और अज्ञात या अप्रयुक्त व्यवस्थापक खातों को हटा दें।.
7. व्यवस्थापक पहुंच को मजबूत करें: 2FA सक्षम करें, जहाँ व्यावहारिक हो वहां आईपी प्रतिबंध लागू करें, और व्यवस्थापक खातों को न्यूनतम करें।.
8. यदि आवश्यक हो तो एक साफ बैकअप से पुनर्स्थापित करें।.
9. पुनः-सफाई के बाद साइट की निगरानी करें ताकि पुनः-संक्रमण के संकेत मिल सकें।.

वर्डप्रेस साइट मालिकों के लिए दीर्घकालिक सुरक्षा सर्वोत्तम प्रथाएँ

• व्यवस्थापक खातों की संख्या को न्यूनतम करें और न्यूनतम विशेषाधिकार सिद्धांतों का उपयोग करें।.
• मजबूत, अद्वितीय पासवर्ड लागू करें और व्यवस्थापकों के लिए दो-कारक प्रमाणीकरण की आवश्यकता करें।.
• वर्डप्रेस कोर, थीम और प्लगइन्स को अपडेट रखें; उत्पादन से पहले स्टेजिंग में अपडेट का परीक्षण करें।.
• अप्रयुक्त प्लगइन्स और थीम्स को हटा दें; निष्क्रिय प्लगइन्स को अनिश्चितकाल के लिए स्थापित न रखें।.
• स्थापित करने से पहले प्लगइन्स की जांच करें: हाल के अपडेट, रखरखाव करने वाले और समुदाय की प्रतिक्रिया की जांच करें।.
• नियमित, सत्यापित बैकअप बनाए रखें जो ऑफ-साइट संग्रहीत हों और नियमित रूप से पुनर्स्थापनों का परीक्षण करें।.
• शून्य-दिन परिदृश्यों के लिए परतबद्ध रक्षा के हिस्से के रूप में WAF या प्रतिक्रिया-निरीक्षण परत का उपयोग करें।.
• प्रशासनिक क्रियाओं के लिए लॉगिंग और निगरानी सक्षम करें और नियमित रूप से लॉग की समीक्षा करें।.
• सामग्री सुरक्षा नीति (CSP) लागू करें ताकि आपके साइट/AMP आवश्यकताओं के साथ संगत होने पर XSS के प्रभाव को कम किया जा सके।.
• कस्टम कोड के लिए नियमित सुरक्षा ऑडिट और कोड समीक्षाएँ करें।.

अनुशंसित HTTP सुरक्षा हेडर

• सामग्री-सुरक्षा-नीति (CSP) — एक सख्त CSP यह सीमित कर सकता है कि स्क्रिप्ट/शैलियाँ कहाँ लोड की जाती हैं। AMP के साथ सावधानी से परीक्षण करें।.
• X-Content-Type-Options: nosniff
• X-Frame-Options: SAMEORIGIN 19. सख्त DENY जहाँ उपयुक्त हो)
• रेफरर-नीति: no-referrer-when-downgrade (या अधिक सख्त)
• सख्त-परिवहन- सुरक्षा: max-age=31536000; includeSubDomains; preload (यदि HTTPS का उपयोग कर रहे हैं)

साइट की कार्यक्षमता या AMP सीमाओं को तोड़ने से बचने के लिए हेडर का सावधानीपूर्वक परीक्षण करें।.

पहचान प्रश्न और स्कैन

संदिग्ध संग्रहीत CSS और XSS संकेतकों की खोज के लिए इन प्रश्नों का प्रारंभिक बिंदु के रूप में उपयोग करें (आवश्यकतानुसार तालिका उपसर्ग बदलें):

SELECT option_name, option_value;

स्वचालित स्कैनरों को मैनुअल निरीक्षण के साथ मिलाएं; स्वचालित उपकरण छिपे हुए पेलोड को छोड़ सकते हैं या गलत सकारात्मक उत्पन्न कर सकते हैं।.

व्यावहारिक व्यवस्थापक आदेश (कॉपी-पेस्ट)

# पहले डेटाबेस और फ़ाइलों का बैकअप लें (हमेशा)'

डेटाबेस पर अपडेट या हटाने के संचालन को चलाने से पहले हमेशा बैकअप लें।.

अंतिम चेकलिस्ट (क्रियान्वयन योग्य)

• AMP एन्हांसर प्लगइन (≤1.0.49) को अस्थायी रूप से निष्क्रिय या हटा दें।.
• साइट का बैकअप लें (फ़ाइलें + डेटाबेस)।.
• डेटाबेस से AMP कस्टम CSS सेटिंग की जांच करें और यदि आवश्यक हो तो साफ करें।.
• व्यवस्थापक पासवर्ड रीसेट करें और सभी व्यवस्थापकों के लिए 2FA की आवश्यकता करें।.
• साइट को इंजेक्टेड स्क्रिप्ट, संशोधित फ़ाइलों और संदिग्ध अनुसूचित कार्यों के लिए स्कैन करें।.
• खतरनाक CSS संरचनाओं और आउटबाउंड इंजेक्शन पैटर्न को ब्लॉक करने वाले WAF/वर्चुअल पैच नियम लागू करें।.
• अवरुद्ध घटनाओं और ऑडिट लॉग की निगरानी करें ताकि पुनरावृत्त प्रयासों का पता लगाया जा सके।.
• जब एक स्थिर संस्करण जारी किया जाए तो तुरंत प्लगइन को अपडेट करें और पहले इसे स्टेजिंग में परीक्षण करें।.
• व्यवस्थापक पहुंच को मजबूत करें (IP प्रतिबंध, मजबूत पासवर्ड, कम व्यवस्थापक खाते)।.
• कोड समीक्षा और QA के बाद महत्वपूर्ण CSS को थीम फ़ाइलों में संस्करण नियंत्रण के तहत स्थानांतरित करने पर विचार करें।.

समापन विचार

“कस्टम CSS” फ़ील्ड जैसी व्यवस्थापक-समर्थित सुविधाओं में संग्रहीत XSS यह दर्शाता है कि कैसे सुविधा जोखिम को जन्म दे सकती है। सही दृष्टिकोण स्तरित है: कमजोर प्लगइन को हटा दें या सीमित करें, साइट को साफ और सुरक्षित करें, और एक स्थायी समाधान लागू होने के दौरान प्रतिक्रिया-निरीक्षण या WAF नियमों का उपयोग करें।.

यदि आप कई साइटों का प्रबंधन करते हैं या सफाई के दौरान डाउनटाइम सहन नहीं कर सकते हैं, तो एक योग्य सुरक्षा पेशेवर को शामिल करने पर विचार करें जो आभासी पैचिंग लागू करे, एक अनुकूलित सफाई करे, और एक सुधार योजना तैयार करे।.

यदि आप एक अनुकूलित सुधार योजना (चरण-दर-चरण आदेश, एक खोज और सफाई स्क्रिप्ट, और आपके वातावरण के लिए ट्यून की गई अनुशंसित WAF नियम सेट) चाहते हैं, तो साझा होस्टिंग, प्रबंधित वर्डप्रेस, या रूट/सर्वर पहुंच पर होस्ट करने के बारे में उत्तर दें, और मैं एक तैयार करूंगा।.

— हांगकांग सुरक्षा विशेषज्ञ