मुफ्त स्कैन करें
MEDIUMCVE-2026-4032CVSS 6.1

CodeColorer <= 0.10.1 - Unauthenticated Stored Cross-Site Scripting via 'class' attribute in 'cc' Comment Shortcode

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

wordpress

घटक

codecolorer

में ठीक किया गया

0.10.2

0.10.2

AI Confidence: highNVDEPSS 0.0%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

A security vulnerability has been identified in Gramps WebAPI, affecting users with the Guest role. This issue allows unauthorized access to private sub-object data, such as private alternate names and addresses, through certain API endpoints. Versions of Gramps WebAPI prior to 3.9.1 are vulnerable. A patch is available in version 3.11.0.

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

CVE-2026-4032 in the CodeColorer WordPress plugin presents a significant security risk. It allows unauthenticated attackers to inject malicious web scripts into WordPress pages via the 'class' parameter in the 'cc' comment shortcode. When a user visits a page containing this injected script, the script executes automatically in their browser. The potential impact includes cookie theft, redirection to malicious websites, content alteration, and, in severe cases, website control. The vulnerability's severity is compounded by the ease of exploitation, requiring only comments to be enabled and guest comments allowed.

शोषण संदर्भअनुवाद हो रहा है…

The vulnerability is exploited through the 'cc' shortcode within WordPress comments. An attacker can inject a malicious script into the 'class' parameter of the shortcode. For successful exploitation, comments must be enabled on the target post, and guest comments must be allowed. Once the comment is published, any user visiting the page containing the comment will execute the injected script. This allows the attacker to perform malicious actions in the user's browser, such as stealing sensitive information or redirecting them to dangerous websites.

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.02% (5% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकcodecolorer
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0 – 0.10.10.10.2
0.10.10.10.2

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
1Kआला
प्लगइन रेटिंग
4.9
WordPress आवश्यक
4.0+
संगत संस्करण तक
6.9.4
PHP आवश्यक
7.0+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The most effective mitigation for CVE-2026-4032 is to update the CodeColorer plugin to version 0.10.2 or higher. This version includes the necessary fixes to prevent script injection. If updating is not immediately possible, disabling guest comments or restricting user permissions to create comments is recommended. Additionally, implementing a Web Application Firewall (WAF) can help detect and block exploitation attempts. Regular security audits of the website are also crucial for identifying and addressing potential vulnerabilities.

कैसे ठीक करेंअनुवाद हो रहा है…

Update to version 0.10.2, or a newer patched version

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-4032 — Cross-Site Scripting (XSS) in CodeColorer?

A shortcode is a snippet of code used to insert dynamic content into a WordPress page.

Am I affected by CVE-2026-4032 in CodeColorer?

Stored XSS (Cross-Site Scripting) means the malicious script is stored on the server (in this case, in a WordPress comment) and executes every time a user visits the page.

How do I fix CVE-2026-4032 in CodeColorer?

If you are using a version prior to 0.10.2 of the CodeColorer plugin, your website is vulnerable. You can verify the plugin version in the WordPress admin dashboard.

Is CVE-2026-4032 being actively exploited?

A WAF (Web Application Firewall) is a security tool that protects web applications from malicious attacks, such as XSS.

Where can I find the official CodeColorer advisory for CVE-2026-4032?

If you suspect your website has been compromised, you should change all passwords, scan the website for malware, and restore from a clean backup.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें