मुफ्त स्कैन करें
HIGHCVE-2026-5231CVSS 7.2

WP Statistics <= 14.16.4 - 'utm_source' पैरामीटर के माध्यम से प्रमाणीकृत संग्रहीत क्रॉस-साइट स्क्रिप्टिंग

प्लेटफ़ॉर्म

wordpress

घटक

wp-statistics

में ठीक किया गया

14.16.5

14.16.5

AI Confidence: highNVDEPSS 0.0%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें

CVE-2026-5231 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो WP Statistics WordPress प्लगइन में पाई गई है। यह भेद्यता हमलावरों को व्यवस्थापक पृष्ठों में दुर्भावनापूर्ण वेब स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी चोरी हो सकती है या व्यवस्थापक खाते पर नियंत्रण प्राप्त किया जा सकता है। यह भेद्यता WP Statistics प्लगइन के संस्करण 14.16.4 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन के संस्करण 14.16.5 में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह XSS भेद्यता हमलावरों को व्यवस्थापक पैनल में स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे वे उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण कोड चला सकते हैं। हमलावर कुकीज़ चुरा सकते हैं, उपयोगकर्ता को फ़िशिंग साइटों पर रीडायरेक्ट कर सकते हैं, या व्यवस्थापक खाते के नाम पर कार्रवाई कर सकते हैं। चूंकि यह भेद्यता WP Statistics प्लगइन में मौजूद है, इसलिए यह उन सभी वेबसाइटों को प्रभावित कर सकती है जो प्लगइन का उपयोग करती हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को बिना किसी प्रमाणीकरण के स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिसका अर्थ है कि किसी भी उपयोगकर्ता को लक्षित किया जा सकता है। इस तरह की भेद्यता का शोषण करने से वेबसाइट की प्रतिष्ठा को गंभीर नुकसान हो सकता है और उपयोगकर्ताओं के डेटा की गोपनीयता से समझौता हो सकता है।

शोषण संदर्भ

CVE-2026-5231 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी सार्वजनिक प्रकृति और XSS भेद्यताओं की व्यापकता के कारण, इसका शोषण होने की संभावना है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, लेकिन EPSS (Exploit Prediction Score System) स्कोर मध्यम होने की संभावना है, जो सार्वजनिक रूप से उपलब्ध शोषण कोड के कारण है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बनाते हैं।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

EPSS

0.03% (9% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकwp-statistics
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 14.16.414.16.5
14.16.414.16.5

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
600Kलोकप्रिय
प्लगइन रेटिंग
4.1
WordPress आवश्यक
6.6+
संगत संस्करण तक
7.0
PHP आवश्यक
7.4+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के -6 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2026-5231 के लिए तत्काल समाधान प्लगइन को संस्करण 14.16.5 में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो XSS हमलों को ब्लॉक करता है। आप प्लगइन के कॉन्फ़िगरेशन में इनपुट सैनिटाइजेशन को भी बढ़ा सकते हैं, हालांकि यह एक पूर्ण समाधान नहीं है। सुनिश्चित करें कि WP Statistics प्लगइन के सभी इंस्टेंस नवीनतम संस्करण में अपडेट किए गए हैं। WAF नियमों को लागू करें जो 'utmsource' पैरामीटर से आने वाले संदिग्ध इनपुट को फ़िल्टर करते हैं। प्लगइन के कोड को नियमित रूप से ऑडिट करें ताकि यह सुनिश्चित हो सके कि इसमें कोई अन्य भेद्यता नहीं है। अपडेट के बाद, यह सत्यापित करें कि 'utmsource' पैरामीटर अब असुरक्षित रूप से संसाधित नहीं किया जा रहा है।

कैसे ठीक करें

संस्करण 14.16.5 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-5231 — XSS भेद्यता WP Statistics प्लगइन में क्या है?

CVE-2026-5231 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो WP Statistics प्लगइन में 'utm_source' पैरामीटर के असुरक्षित हैंडलिंग के कारण होती है, जिससे हमलावर व्यवस्थापक पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं।

क्या मैं CVE-2026-5231 से WP Statistics प्लगइन में प्रभावित हूं?

यदि आप WP Statistics प्लगइन के संस्करण 14.16.4 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-5231 से WP Statistics प्लगइन को कैसे ठीक करूं?

CVE-2026-5231 को ठीक करने के लिए, WP Statistics प्लगइन को संस्करण 14.16.5 या बाद के संस्करण में अपडेट करें।

क्या CVE-2026-5231 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन इसकी सार्वजनिक प्रकृति के कारण इसका शोषण होने की संभावना है।

मैं WP Statistics के लिए CVE-2026-5231 के लिए आधिकारिक सलाह कहां पा सकता हूं?

आप WP Statistics वेबसाइट पर आधिकारिक सलाह पा सकते हैं: [https://wp-statistics.com/](https://wp-statistics.com/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें