| प्लगइन का नाम | शॉर्टकोड्स अल्टीमेट |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2026-3885 |
| तात्कालिकता | कम |
| CVE प्रकाशन तिथि | 2026-04-15 |
| स्रोत URL | CVE-2026-3885 |
महत्वपूर्ण अपडेट: शॉर्टकोड्स अल्टीमेट (≤ 7.4.9) में स्टोर्ड XSS — वर्डप्रेस प्रशासकों को अब क्या करना चाहिए
सारांश: शॉर्टकोड्स अल्टीमेट के su_box शॉर्टकोड में एक स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो संस्करण 7.4.9 तक और उसमें शामिल है। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार हैं, वह दुर्भावनापूर्ण पेलोड्स को स्टोर कर सकता है जो तब निष्पादित होते हैं जब सामग्री प्रस्तुत की जाती है (प्रशासक पूर्वावलोकनों में भी)। प्लगइन लेखक ने संस्करण 7.5.0 में एक सुधार जारी किया। तुरंत अपडेट करें।.
त्वरित सारांश
- भेद्यता: su_box शॉर्टकोड में स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (शॉर्टकोड्स अल्टीमेट ≤ 7.4.9)।.
- आवश्यक विशेषाधिकार: योगदानकर्ता (प्रमाणित, गैर-प्रशासक)।.
- शोषण जटिलता: एक योगदानकर्ता को तैयार की गई सामग्री डालनी होगी; एक विशेषाधिकार प्राप्त उपयोगकर्ता या एक आगंतुक को निष्पादन के लिए स्टोर की गई सामग्री प्रस्तुत करनी होगी।.
- प्रभाव: पीड़ित के ब्राउज़र में मनमाना JavaScript निष्पादन — सत्र चोरी, विशेषाधिकार वृद्धि, विकृति, पुनर्निर्देशन, या आगे का पेलोड वितरण।.
- CVE: CVE-2026-3885।.
- सुधार: तुरंत शॉर्टकोड्स अल्टीमेट को 7.5.0 या नए संस्करण में अपग्रेड करें।.
क्या हुआ (साधारण भाषा)
शॉर्टकोड्स लेखकों को पोस्ट और पृष्ठों में गतिशील तत्व डालने की अनुमति देते हैं। प्रभावित संस्करणों में su_box शॉर्टकोड हैंडलर ने HTML उत्पन्न किया जो अस्वच्छ विशेषताओं या सामग्री को शामिल कर सकता था। एक योगदानकर्ता तैयार की गई इनपुट को स्टोर कर सकता है जिसमें निष्पादन योग्य जावास्क्रिप्ट होती है; जब वह सामग्री बाद में प्रस्तुत की जाती है (फ्रंट-एंड या प्रशासक पूर्वावलोकन), तो ब्राउज़र इंजेक्टेड स्क्रिप्ट को निष्पादित करता है। चूंकि पेलोड डेटाबेस में स्थायी है, यह किसी भी उपयोगकर्ता को प्रभावित कर सकता है जो सामग्री को देखता है।.
स्टोर्ड XSS खतरनाक है क्योंकि स्टोर्ड पेलोड्स स्थायी होते हैं और उच्च विशेषाधिकार वाले संदर्भों में निष्पादित हो सकते हैं (उदाहरण के लिए, जब एक संपादक या प्रशासक एक पोस्ट का पूर्वावलोकन करता है), संभावित नुकसान को बढ़ाते हैं।.
यह आपके साइट के लिए क्यों महत्वपूर्ण है
- योगदानकर्ता खाते बहु-लेखक ब्लॉग, सदस्यता साइटों और संपादकीय कार्यप्रवाहों में सामान्य हैं — ऐसे खातों का समझौता या दुरुपयोग एक आसान हमले का वेक्टर है।.
- स्टोर्ड XSS खाता अधिग्रहण (कुकी या टोकन चोरी), CSRF-शैली प्रवाह के माध्यम से प्रशासनिक क्रियाएँ, सामग्री विकृति, और मैलवेयर वितरण को सक्षम कर सकता है।.
- मध्यम CVSS स्कोर के साथ भी, स्टोर्ड XSS अच्छी तरह से स्केल करता है: एक स्टोर्ड पेलोड कई आगंतुकों या स्टाफ सदस्यों को प्रभावित कर सकता है।.
यथार्थवादी हमले के परिदृश्य
- संपादकीय सबोटेज: एक योगदानकर्ता su_box शॉर्टकोड का उपयोग करके एक पोस्ट प्रकाशित करता है जिसमें एक छिपा हुआ दुर्भावनापूर्ण पेलोड होता है। एक संपादक या प्रशासक डैशबोर्ड में पोस्ट का पूर्वावलोकन करता है; स्क्रिप्ट निष्पादित होती है और सत्र टोकन चुरा लेती है या क्रियाएँ करती है।.
- समझौता किया गया योगदानकर्ता खाता: एक हमलावर योगदानकर्ता क्रेडेंशियल प्राप्त करता है और पोस्ट में एक स्थायी पेलोड लगाता है, जो बाद में आगंतुकों या स्टाफ को उजागर करता है।.
- सामाजिक इंजीनियरिंग: एक हमलावर एक संपादक को एक पूर्वावलोकन खोलने या एक लिंक पर क्लिक करने के लिए मनाता है जो स्टोर किए गए पेलोड को सक्रिय करता है।.
- सामूहिक दुरुपयोग: हमलावर कई दुर्भावनापूर्ण प्रविष्टियाँ बनाते हैं (यदि टिप्पणियों या अन्य संपादनीय क्षेत्रों में शॉर्टकोड की अनुमति है) ताकि पहुंच बढ़ सके।.
तकनीकी विवरण (उच्च स्तर)
- मूल कारण: उपयोगकर्ता द्वारा प्रदान किए गए डेटा का अपर्याप्त सफाई/एस्केपिंग su_box द्वारा संभाला जाता है।.
- संग्रहण: पेलोड वर्डप्रेस डेटाबेस (post_content, postmeta, या समान सीरियलाइज्ड फ़ील्ड) में स्थायी होते हैं।.
- निष्पादन: जब शॉर्टकोड को रेंडर किया जाता है (फ्रंट-एंड या प्रशासन पूर्वावलोकन), तो संग्रहीत मार्कअप निकाला जाता है और ब्राउज़र स्क्रिप्ट चलाता है।.
- आवश्यक विशेषाधिकार: योगदानकर्ता - एक अप्रमाणित आगंतुक अकेले पेलोड नहीं रख सकता, लेकिन समझौता किए गए योगदानकर्ता खातों या ढीले भूमिका क्षमताएँ इसे खतरनाक बनाती हैं।.
समझौते के संकेत (IoC) - किस चीज़ की तलाश करें
यदि आप दुरुपयोग का संदेह करते हैं, तो जांचें:
