मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-2396

CVE-2026-2396: XSS in List View Google Calendar

प्लेटफ़ॉर्म

wordpress

घटक

list-view-google-calendar

में ठीक किया गया

7.4.4

NVD पर देखें
सहेजें

List View Google Calendar प्लगइन के संस्करण 7.4.3 और उससे पहले में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता मौजूद है। इस भेद्यता का फायदा उठाकर, प्रमाणित हमलावर, जिनके पास व्यवस्थापक-स्तरीय पहुंच है, इवेंट विवरण में दुर्भावनापूर्ण वेब स्क्रिप्ट इंजेक्ट कर सकते हैं। यह भेद्यता केवल मल्टी-साइट इंस्टॉलेशन और उन इंस्टॉलेशन को प्रभावित करती है जहां unfiltered_html को अक्षम किया गया है। संस्करण 7.4.4 में यह समस्या हल की गई है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह XSS भेद्यता हमलावर को पीड़ित उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। हमलावर कुकीज़ चुरा सकते हैं, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं, या वेबसाइट की सामग्री को बदल सकते हैं। मल्टी-साइट इंस्टॉलेशन में, हमलावर अन्य साइटों पर भी हमला कर सकता है। चूंकि हमलावर को व्यवस्थापक-स्तरीय पहुंच की आवश्यकता होती है, इसलिए भेद्यता का फायदा उठाने के लिए उन्हें पहले सिस्टम में प्रमाणीकरण प्राप्त करना होगा। यह भेद्यता लॉग4शेल जैसी अन्य XSS भेद्यताओं के समान प्रभाव डाल सकती है, जहां हमलावर उपयोगकर्ता के सत्र को हाईजैक करने और संवेदनशील डेटा तक पहुंचने के लिए स्क्रिप्ट का उपयोग कर सकते हैं।

शोषण संदर्भ

यह CVE 2026-04-14 को प्रकाशित किया गया था। सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका फायदा उठाया जाने की संभावना है। इस भेद्यता की संभावना मध्यम है। CISA ने इस भेद्यता के बारे में कोई चेतावनी जारी नहीं की है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.03% (10% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N4.4MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकlist-view-google-calendar
विक्रेताwordfence
न्यूनतम संस्करण0.0.0
अधिकतम संस्करण7.4.3
में ठीक किया गया7.4.4

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. प्रकाशित
  2. संशोधित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, List View Google Calendar प्लगइन को संस्करण 7.4.4 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो unfiltered_html विकल्प को अक्षम रखें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या रिवर्स प्रॉक्सी का उपयोग करके इनपुट को सैनिटाइज करें और आउटपुट को एस्केप करें। नियमित रूप से लॉग की निगरानी करें और किसी भी असामान्य गतिविधि की जांच करें। यदि संभव हो, तो एक सख्त सामग्री सुरक्षा नीति (CSP) लागू करें ताकि स्क्रिप्ट के निष्पादन को सीमित किया जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के नवीनतम संस्करण के साथ एक परीक्षण करें।

कैसे ठीक करें

संस्करण 7.4.4 में अपडेट करें, या एक नया पैच किया गया संस्करण

अक्सर पूछे जाने वाले सवाल

CVE-2026-2396 — XSS List View Google Calendar में क्या है?

CVE-2026-2396 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो List View Google Calendar प्लगइन के संस्करण 7.4.3 और उससे पहले में मौजूद है, जिससे हमलावर इवेंट विवरण में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं।

क्या मैं CVE-2026-2396 से List View Google Calendar में प्रभावित हूं?

यदि आप List View Google Calendar प्लगइन के संस्करण 7.4.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं। संस्करण 7.4.4 में भेद्यता को ठीक किया गया है।

मैं CVE-2026-2396 से List View Google Calendar को कैसे ठीक करूं?

List View Google Calendar प्लगइन को संस्करण 7.4.4 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो unfiltered_html विकल्प को अक्षम रखें।

क्या CVE-2026-2396 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, भेद्यता की गंभीरता को देखते हुए, इसका फायदा उठाया जाने की संभावना है।

मैं List View Google Calendar के लिए CVE-2026-2396 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

कृपया List View Google Calendar प्लगइन के डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें
liveमुफ्त स्कैन

अपने WordPress प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...