मुफ्त स्कैन करें
HIGHCVE-2026-6506CVSS 8.8

CVE-2026-6506: Privilege Escalation in InfusedWoo Pro

प्लेटफ़ॉर्म

wordpress

घटक

infusedwooPRO

में ठीक किया गया

5.1.3

NVD पर देखें
सहेजें

InfusedWoo Pro प्लगइन, जो WordPress के लिए है, में विशेषाधिकार वृद्धि की भेद्यता पाई गई है। यह भेद्यता सभी संस्करणों में मौजूद है, जिनमें 5.1.2 शामिल है। हमलावर, जिनके पास सब्सक्राइबर स्तर का एक्सेस है, वे अपने wp_capabilities उपयोगकर्ता मेटा को अपडेट करके प्रशासक के विशेषाधिकार प्राप्त कर सकते हैं। 5.1.3 संस्करण में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को WordPress वेबसाइट पर प्रशासक के विशेषाधिकार प्राप्त करने की अनुमति देती है। प्रशासक के विशेषाधिकार प्राप्त करने के बाद, हमलावर वेबसाइट की सामग्री को संशोधित कर सकता है, उपयोगकर्ताओं को हटा सकता है, प्लगइन्स स्थापित कर सकता है, और अन्य दुर्भावनापूर्ण कार्य कर सकता है। यह वेबसाइट की सुरक्षा और अखंडता के लिए गंभीर खतरा है। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले WordPress वेबसाइट पर प्रमाणित होना होगा। फिर, वे infusedwoogdprupddata() फ़ंक्शन का उपयोग करके अपने wp_capabilities उपयोगकर्ता मेटा को अपडेट कर सकते हैं। इस फ़ंक्शन में उचित प्राधिकरण और क्षमता जांच की कमी के कारण, हमलावर आसानी से प्रशासक के विशेषाधिकार प्राप्त कर सकते हैं।

शोषण संदर्भ

यह भेद्यता हाल ही में प्रकाशित हुई है और इसका सार्वजनिक रूप से शोषण करने का कोई ज्ञात प्रमाण नहीं है। हालाँकि, भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता को देखते हुए, यह संभव है कि हमलावर इसका फायदा उठाने की कोशिश कर सकते हैं। CISA ने इस भेद्यता के बारे में एक एडवाइजरी जारी की है और उपयोगकर्ताओं को तत्काल कार्रवाई करने के लिए प्रोत्साहित किया है। इस भेद्यता की संभावना मध्यम है, क्योंकि यह WordPress वेबसाइटों की एक विस्तृत श्रृंखला को प्रभावित करती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकinfusedwooPRO
विक्रेताwordfence
न्यूनतम संस्करण0.0.0
अधिकतम संस्करण5.1.2
में ठीक किया गया5.1.3

कमजोरी वर्गीकरण (CWE)

CWE-862

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, InfusedWoo Pro प्लगइन को 5.1.3 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो अस्थायी रूप से प्लगइन को निष्क्रिय करने पर विचार करें। इसके अतिरिक्त, सुनिश्चित करें कि सभी उपयोगकर्ता मजबूत पासवर्ड का उपयोग कर रहे हैं और दो-कारक प्रमाणीकरण सक्षम है। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके अनधिकृत wp_capabilities अपडेट प्रयासों को ब्लॉक करने के लिए नियम बनाए जा सकते हैं। लॉग की निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है।

कैसे ठीक करें

संस्करण 5.1.3 में अपडेट करें, या एक नया पैच किया गया संस्करण

अक्सर पूछे जाने वाले सवाल

CVE-2026-6506 — विशेषाधिकार वृद्धि InfusedWoo Pro में क्या है?

CVE-2026-6506 InfusedWoo Pro प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है जो हमलावरों को प्रशासक के विशेषाधिकार प्राप्त करने की अनुमति देती है। यह भेद्यता infusedwoogdprupddata() फ़ंक्शन में प्राधिकरण जांच की कमी के कारण मौजूद है।

क्या मैं CVE-2026-6506 से InfusedWoo Pro में प्रभावित हूं?

यदि आप InfusedWoo Pro प्लगइन के संस्करण 5.1.2 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

CVE-2026-6506 से InfusedWoo Pro को कैसे ठीक करें?

CVE-2026-6506 से InfusedWoo Pro को ठीक करने के लिए, प्लगइन को संस्करण 5.1.3 या बाद के संस्करण में अपडेट करें।

क्या CVE-2026-6506 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से शोषण करने का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभव है कि हमलावर इसका फायदा उठाने की कोशिश कर सकते हैं।

CVE-2026-6506 के लिए आधिकारिक InfusedWoo Pro एडवाइजरी कहां मिल सकती है?

आधिकारिक InfusedWoo Pro एडवाइजरी के लिए, कृपया InfusedWoo Pro वेबसाइट पर जाएं: [https://infusedwoo.com/](https://infusedwoo.com/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें
liveमुफ्त स्कैन

अपने WordPress प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...