मुफ्त स्कैन करें
MEDIUMCVE-2026-24542CVSS 4.3

वर्डप्रेस WP टर्म ऑर्डर प्लगइन <= 2.1.0 - क्रॉस साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता

प्लेटफ़ॉर्म

wordpress

घटक

wp-term-order

में ठीक किया गया

2.2.0

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-24542 describes a Cross-Site Request Forgery (CSRF) vulnerability discovered in the WP Term Order WordPress plugin. This flaw allows an attacker to perform unauthorized actions on a user's behalf, potentially modifying term order settings. The vulnerability affects versions from 0.0.0 through 2.1.0, and a patch is available in version 2.2.0.

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

A successful CSRF attack could allow an attacker to maliciously alter the order of terms within WordPress custom taxonomies. This could disrupt website functionality, change content organization, or even be used as a stepping stone for further attacks if other vulnerabilities exist. The attacker would need to trick a legitimate user into visiting a malicious webpage crafted to exploit the vulnerability. While the direct impact might seem limited to term order, the potential for cascading effects and manipulation of website content should be considered.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability was publicly disclosed on January 23, 2026. No public proof-of-concept (POC) code has been released at the time of writing. The vulnerability's impact is considered medium, and it is not currently listed on the CISA KEV catalog. Active exploitation is not confirmed.

कौन जोखिम में हैअनुवाद हो रहा है…

Websites using the WP Term Order plugin, particularly those with custom taxonomies and user roles with the ability to modify term order, are at risk. Shared hosting environments where plugin updates are not consistently managed are also more vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r 'wp_term_order_reorder_terms' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep wp-term-order

• wordpress / composer / npm:

wp plugin list | grep wp-term-order

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.01% (0% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकwp-term-order
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 2.1.02.2.0

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
6Kआला
प्लगइन रेटिंग
4.8
WordPress आवश्यक
5.3+
संगत संस्करण तक
7.0
PHP आवश्यक
7.0+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-352

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation is to upgrade the WP Term Order plugin to version 2.2.0 or later, which contains the fix. If immediate upgrading is not possible, consider implementing a Content Security Policy (CSP) to restrict the sources from which the browser can load resources. Additionally, using a WordPress security plugin with CSRF protection can provide an extra layer of defense. Regularly review user activity logs for suspicious requests.

कैसे ठीक करें

संस्करण 2.2.0 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-24542 — CSRF in WP Term Order?

CVE-2026-24542 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the WP Term Order WordPress plugin, allowing attackers to perform unauthorized actions.

Am I affected by CVE-2026-24542 in WP Term Order?

You are affected if you are using WP Term Order versions 0.0.0 through 2.1.0. Upgrade to 2.2.0 or later to mitigate the risk.

How do I fix CVE-2026-24542 in WP Term Order?

Upgrade the WP Term Order plugin to version 2.2.0 or later. Consider implementing a Content Security Policy (CSP) as an additional precaution.

Is CVE-2026-24542 being actively exploited?

Active exploitation is not currently confirmed, but it's crucial to apply the patch to prevent potential attacks.

Where can I find the official WP Term Order advisory for CVE-2026-24542?

Refer to the WP Term Order plugin's official website or WordPress plugin repository for the latest advisory and update information.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें