प्रेस3डी स्टोर्ड XSS (CVE-2026-1985) — वर्डप्रेस साइट मालिकों को क्या जानने की आवश्यकता है

Published: 2026-02-13  |  Author: Hong Kong Security Expert

यह नोट 13 फरवरी 2026 को प्रकट किए गए प्रेस3डी स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग कमजोरियों का संक्षिप्त, तकनीकी रूप से व्यावहारिक विश्लेषण प्रदान करता है (CVE-2026-1985)। यह वर्डप्रेस साइट मालिकों, प्रशासकों और डेवलपर्स के लिए एक अनुभवी हांगकांग सुरक्षा प्रैक्टिशनर के दृष्टिकोण से लिखा गया है जिन्हें कार्रवाई योग्य पहचान और सुधारात्मक कदमों की आवश्यकता है।.

कार्यकारी सारांश — साधारण शब्दों में

• यह क्या है: Stored XSS in the Press3D plugin’s 3D model block via the link.url attribute.
• 14. कोई भी प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार (या उच्चतर) हैं। एक प्रमाणित उपयोगकर्ता जिसके पास लेखक विशेषाधिकार (या उच्चतर) हैं।.
• यह क्यों महत्वपूर्ण है: Script can be saved to site content and executed in visitors’ browsers or when administrators view the page, enabling session theft, admin actions, or further compromise.
• अल्पकालिक शमन: जहां संभव हो, प्लगइन को निष्क्रिय या हटा दें, सामग्री को स्कैन और साफ करें, क्रेडेंशियल्स को घुमाएँ, और किनारे पर वर्चुअल पैचिंग या अनुरोध फ़िल्टरिंग लागू करें।.
• दीर्घकालिक: सामग्री लेखकों के लिए न्यूनतम विशेषाधिकार लागू करें, अविश्वसनीय HTML सम्मिलन को प्रतिबंधित करें, सामग्री सुरक्षा नीति (CSP) और सुरक्षित कुकी ध्वज लागू करें, और प्लगइन्स को अपडेट रखें।.

तकनीकी विवरण (क्या हो रहा है)

यह कमजोरी एक क्लासिक स्टोर्ड XSS है जिसमें वर्डप्रेस-विशिष्ट संदर्भ है:

• प्रेस3डी गुटेनबर्ग ब्लॉक में एक लिंक.url विशेषता है जो 3डी मॉडल ब्लॉकों के लिए उपयोग की जाती है।.
• जो मान लिंक.url में डाले गए थे उन्हें पोस्ट सामग्री/ब्लॉक विशेषताओं में सहेजने से पहले मान्य या एस्केप नहीं किया गया था।.
• एक लेखक एक लिंक.url स्क्रिप्ट वाला तैयार कर सकता है, एक जावास्क्रिप्ट: URI, एक रैपर और फ़िल्टर को अस्वीकार करें: URI जिसमें स्क्रिप्ट है, या HTML संस्थाएं जो ब्राउज़रों द्वारा व्याख्यायित होती हैं।.
• क्योंकि ब्लॉक डेटा संग्रहीत होता है, दुर्भावनापूर्ण सामग्री आगंतुकों को परोसी जाती है और जब ब्लॉक रेंडर होता है तो निष्पादित होती है - एक संग्रहीत XSS।.

संग्रहीत XSS परावर्तित XSS की तुलना में अधिक हानिकारक हो सकता है क्योंकि पेलोड स्थायी होते हैं, प्रशासकों को लक्षित कर सकते हैं, और लंबे समय तक सामग्री में अप्रकट रह सकते हैं।.

चित्रात्मक प्रमाण-का-कल्पना (केवल वैचारिक)

या एक दुर्भावनापूर्ण जावास्क्रिप्ट: लिंक जो क्लिक करने पर निष्पादित होता है:

मुझ पर क्लिक करें

हमले के परिदृश्य और प्रभाव

एक लेखक-स्तरीय हमलावर क्या हासिल कर सकता है यह इस पर निर्भर करता है कि कौन समझौता की गई सामग्री पर जाता है:

• गुमनाम आगंतुक: दुर्भावनापूर्ण ओवरले प्रदर्शित करें, फ़िशिंग पृष्ठों पर पुनर्निर्देशित करें, अवांछित विज्ञापन दिखाएं, या जब कुकीज़ ठीक से सुरक्षित नहीं होती हैं तो टोकन/कुकी निकासी का प्रयास करें।.
• मॉडरेटर / प्रशासक / संपादक: यदि एक प्रशासक एक समझौता किए गए पोस्ट को लोड करता है, तो एक पेलोड प्रशासक सत्र का उपयोग करके क्रियाएँ कर सकता है - उपयोगकर्ता बनाना, सेटिंग्स बदलना, बैकडोर स्थापित करना, या फ़ाइलों को संशोधित करना।.
• SaaS एकीकरण / API टोकन: रेंडरिंग संदर्भ जो API टोकन या अंतर्निहित रहस्यों को उजागर करते हैं, निकासी का कारण बन सकते हैं।.

व्यावसायिक प्रभावों में खाता समझौता, अनदेखी प्रशासनिक परिवर्तन, प्रतिष्ठा और SEO क्षति, और लीक किए गए डेटा के लिए संभावित कानूनी जोखिम शामिल हैं।.

Why “Author” being the required privilege matters

वर्डप्रेस में, लेखक पोस्ट बना और प्रकाशित कर सकते हैं। कई साइटें लेखकों को लिंक जोड़ने और सामग्री को स्वरूपित करने की अनुमति देती हैं। जब एक प्लगइन एक ब्लॉक विशेषता को उजागर करता है जो उचित सत्यापन के बिना एक URL स्वीकार करता है, तो लेखक शोषण के लिए एक धुरी बन जाते हैं। लेखकों से इनपुट को अविश्वसनीय मानें।.

तात्कालिक कार्रवाई - वर्डप्रेस साइट के मालिकों के लिए चेकलिस्ट (पहले 24-48 घंटे)

1. प्रभावित इंस्टॉलेशन की पहचान करें: पुष्टि करें कि क्या Press3D स्थापित है और संस्करण ≤ 1.0.2 है।.
2. अस्थायी समाधान: प्लगइन को निष्क्रिय करें या हटा दें। यदि निष्क्रिय करना संभव नहीं है, तो प्रकाशित सामग्री से प्रभावित 3D मॉडल ब्लॉकों को हटा दें।.
3. सामग्री स्कैन: खोजें
   मेरा ऑर्डर देखें

   0

   उप-योग

   चेकआउट पर कर और शिपिंग की गणना की गई

   चेकआउट