प्रेस3डी स्टोर्ड XSS (CVE-2026-1985) — वर्डप्रेस साइट मालिकों को क्या जानने की आवश्यकता है

प्रकाशित: 2026-02-13  |  लेखक: हांगकांग सुरक्षा विशेषज्ञ

यह नोट 13 फरवरी 2026 को प्रकट किए गए प्रेस3डी स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग कमजोरियों का संक्षिप्त, तकनीकी रूप से व्यावहारिक विश्लेषण प्रदान करता है (CVE-2026-1985)। यह वर्डप्रेस साइट मालिकों, प्रशासकों और डेवलपर्स के लिए एक अनुभवी हांगकांग सुरक्षा प्रैक्टिशनर के दृष्टिकोण से लिखा गया है जिन्हें कार्रवाई योग्य पहचान और सुधारात्मक कदमों की आवश्यकता है।.

कार्यकारी सारांश — साधारण शब्दों में

• यह क्या है: लिंक.url विशेषता के माध्यम से प्रेस3D प्लगइन के 3D मॉडल ब्लॉक में संग्रहीत XSS।.
• 14. कोई भी प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार (या उच्चतर) हैं। एक प्रमाणित उपयोगकर्ता जिसके पास लेखक विशेषाधिकार (या उच्चतर) हैं।.
• यह क्यों महत्वपूर्ण है: स्क्रिप्ट साइट सामग्री में सहेजी जा सकती है और आगंतुकों के ब्राउज़रों में या जब प्रशासक पृष्ठ को देखते हैं, तब निष्पादित की जा सकती है, जिससे सत्र चोरी, प्रशासक क्रियाएँ, या आगे का समझौता सक्षम होता है।.
• अल्पकालिक शमन: जहां संभव हो, प्लगइन को निष्क्रिय या हटा दें, सामग्री को स्कैन और साफ करें, क्रेडेंशियल्स को घुमाएँ, और किनारे पर वर्चुअल पैचिंग या अनुरोध फ़िल्टरिंग लागू करें।.
• दीर्घकालिक: सामग्री लेखकों के लिए न्यूनतम विशेषाधिकार लागू करें, अविश्वसनीय HTML सम्मिलन को प्रतिबंधित करें, सामग्री सुरक्षा नीति (CSP) और सुरक्षित कुकी ध्वज लागू करें, और प्लगइन्स को अपडेट रखें।.

तकनीकी विवरण (क्या हो रहा है)

यह कमजोरी एक क्लासिक स्टोर्ड XSS है जिसमें वर्डप्रेस-विशिष्ट संदर्भ है:

• प्रेस3डी गुटेनबर्ग ब्लॉक में एक लिंक.url विशेषता है जो 3डी मॉडल ब्लॉकों के लिए उपयोग की जाती है।.
• जो मान लिंक.url में डाले गए थे उन्हें पोस्ट सामग्री/ब्लॉक विशेषताओं में सहेजने से पहले मान्य या एस्केप नहीं किया गया था।.
• एक लेखक एक लिंक.url स्क्रिप्ट वाला तैयार कर सकता है, एक जावास्क्रिप्ट: URI, एक रैपर और फ़िल्टर को अस्वीकार करें: URI जिसमें स्क्रिप्ट है, या HTML संस्थाएं जो ब्राउज़रों द्वारा व्याख्यायित होती हैं।.
• क्योंकि ब्लॉक डेटा संग्रहीत होता है, दुर्भावनापूर्ण सामग्री आगंतुकों को परोसी जाती है और जब ब्लॉक रेंडर होता है तो निष्पादित होती है - एक संग्रहीत XSS।.

संग्रहीत XSS परावर्तित XSS की तुलना में अधिक हानिकारक हो सकता है क्योंकि पेलोड स्थायी होते हैं, प्रशासकों को लक्षित कर सकते हैं, और लंबे समय तक सामग्री में अप्रकट रह सकते हैं।.

चित्रात्मक प्रमाण-का-कल्पना (केवल वैचारिक)

या एक दुर्भावनापूर्ण जावास्क्रिप्ट: लिंक जो क्लिक करने पर निष्पादित होता है:

मुझ पर क्लिक करें

हमले के परिदृश्य और प्रभाव

एक लेखक-स्तरीय हमलावर क्या हासिल कर सकता है यह इस पर निर्भर करता है कि कौन समझौता की गई सामग्री पर जाता है:

• गुमनाम आगंतुक: दुर्भावनापूर्ण ओवरले प्रदर्शित करें, फ़िशिंग पृष्ठों पर पुनर्निर्देशित करें, अवांछित विज्ञापन दिखाएं, या जब कुकीज़ ठीक से सुरक्षित नहीं होती हैं तो टोकन/कुकी निकासी का प्रयास करें।.
• मॉडरेटर / प्रशासक / संपादक: यदि एक प्रशासक एक समझौता किए गए पोस्ट को लोड करता है, तो एक पेलोड प्रशासक सत्र का उपयोग करके क्रियाएँ कर सकता है - उपयोगकर्ता बनाना, सेटिंग्स बदलना, बैकडोर स्थापित करना, या फ़ाइलों को संशोधित करना।.
• SaaS एकीकरण / API टोकन: रेंडरिंग संदर्भ जो API टोकन या अंतर्निहित रहस्यों को उजागर करते हैं, निकासी का कारण बन सकते हैं।.

व्यावसायिक प्रभावों में खाता समझौता, अनदेखी प्रशासनिक परिवर्तन, प्रतिष्ठा और SEO क्षति, और लीक किए गए डेटा के लिए संभावित कानूनी जोखिम शामिल हैं।.

“लेखक” होना आवश्यक विशेषाधिकार क्यों महत्वपूर्ण है

वर्डप्रेस में, लेखक पोस्ट बना और प्रकाशित कर सकते हैं। कई साइटें लेखकों को लिंक जोड़ने और सामग्री को स्वरूपित करने की अनुमति देती हैं। जब एक प्लगइन एक ब्लॉक विशेषता को उजागर करता है जो उचित सत्यापन के बिना एक URL स्वीकार करता है, तो लेखक शोषण के लिए एक धुरी बन जाते हैं। लेखकों से इनपुट को अविश्वसनीय मानें।.

तात्कालिक कार्रवाई - वर्डप्रेस साइट के मालिकों के लिए चेकलिस्ट (पहले 24-48 घंटे)

1. प्रभावित इंस्टॉलेशन की पहचान करें: पुष्टि करें कि क्या Press3D स्थापित है और संस्करण ≤ 1.0.2 है।.
2. अस्थायी समाधान: प्लगइन को निष्क्रिय करें या हटा दें। यदि निष्क्रिय करना संभव नहीं है, तो प्रकाशित सामग्री से प्रभावित 3D मॉडल ब्लॉकों को हटा दें।.
3. सामग्री स्कैन: खोजें
   मेरा ऑर्डर देखें

   0

   उप-योग

   चेकआउट पर कर और शिपिंग की गणना की गई

   चेकआउट