AutomatorWP <= 5.0.9 - 'a-0-o-search_field_value' पैरामीटर के माध्यम से रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग

यह XSS भेद्यता हमलावरों को वेबसाइट पर अनधिकृत स्क्रिप्ट चलाने की अनुमति देती है। हमलावर दुर्भावनापूर्ण स्क्रिप्ट का उपयोग उपयोगकर्ता कुकीज़ को चुराने, संवेदनशील जानकारी निकालने, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने के लिए कर सकते हैं। यदि हमलावर प्लगइन के आयात और कोड एक्शन सुविधा का उपयोग करता है, तो यह भेद्यता और भी अधिक खतरनाक हो सकती है, क्योंकि हमलावर वेबसाइट के कोड को संशोधित करने में सक्षम हो सकता है। यह भेद्यता वेबसाइट की सुरक्षा और प्रतिष्ठा को गंभीर रूप से खतरे में डाल सकती है।

Websites using the AutomatorWP plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Users who rely on the plugin's import and code action features are especially vulnerable.

• wordpress / composer / npm:

grep -r 'a-0-o-search_field_value' /var/www/html/wp-content/plugins/automatorwp/

• generic web:

curl -I 'https://your-wordpress-site.com/?a-0-o-search_field_value=<script>alert("XSS")</script>' | grep -i 'script'

1. 2024-12-19Disclosure

   disclosure

1. आरक्षित2024-12-13
2. प्रकाशित2024-12-19
3. संशोधित2024-12-20
4. EPSS अद्यतन2026-04-02

CVE-2024-12626 को कम करने के लिए, AutomatorWP प्लगइन को तुरंत संस्करण 5.0.10 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो प्लगइन को अस्थायी रूप से निष्क्रिय करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके इनपुट को सैनिटाइज करने और आउटपुट को एस्केप करने से XSS हमलों को रोकने में मदद मिल सकती है। वर्डप्रेस वेबसाइटों पर सभी प्लगइन्स को नियमित रूप से अपडेट करना और सुरक्षा सर्वोत्तम प्रथाओं का पालन करना महत्वपूर्ण है।

सक्रिय इंस्टॉलेशन

8Kआला

प्लगइन रेटिंग