प्लेटफ़ॉर्म
wordpress
घटक
elementor
में ठीक किया गया
3.33.4
CVE-2025-11220 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Text Path widget in the Elementor Website Builder WordPress plugin. This flaw allows authenticated attackers with contributor-level access or higher to inject malicious web scripts into pages. These scripts execute when a user accesses the compromised page. This affects Elementor versions up to and including 3.33.3. The vulnerability is fixed in version 3.33.4.
Elementor प्लगइन में CVE-2025-11220 भेद्यता संस्करण 3.33.3 तक और उससे पहले के संस्करणों को प्रभावित करती है। यह प्लगइन के 'टेक्स्ट पाथ' विजेट के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले की अनुमति देता है। एक प्रमाणित हमलावर, जिसके पास योगदानकर्ता-स्तर का एक्सेस या उससे अधिक है, वेब पेजों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। जब भी कोई उपयोगकर्ता समझौता किए गए पृष्ठ तक पहुंचता है, तो यह कोड निष्पादित होगा, जिससे संवेदनशील जानकारी की चोरी, पहचान प्रतिरूपण या दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट हो सकता है। बड़ी संख्या में उपयोगकर्ताओं और उपयोगकर्ता-जनित सामग्री वाली वेबसाइटों के लिए जोखिम विशेष रूप से महत्वपूर्ण है।
इस हमले के लिए हमलावर को योगदानकर्ता या उच्चतर अनुमति स्तर के साथ वर्डप्रेस साइट तक प्रमाणित एक्सेस होना आवश्यक है। हमलावर एक पृष्ठ पर 'टेक्स्ट पाथ' विजेट के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। एक बार पृष्ठ सहेजने और अन्य उपयोगकर्ताओं द्वारा देखने के बाद, स्क्रिप्ट उनके ब्राउज़रों में निष्पादित होती है। यह भेद्यता SVG कोड उत्पन्न करते समय उपयोगकर्ता इनपुट के उचित सत्यापन और एस्केप की कमी के कारण होती है, जिससे <script> टैग या onload विशेषताओं का इंजेक्शन हो सकता है जो मनमाना कोड निष्पादित कर सकती हैं।
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान Elementor प्लगइन को तुरंत संस्करण 3.33.4 या उससे उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो 'टेक्स्ट पाथ' विजेट के भीतर SVG मार्कअप बनाने के लिए उपयोग किए जाने वाले उपयोगकर्ता-प्रदत्त इनपुट को ठीक से निष्क्रिय कर देता है, जिससे दुर्भावनापूर्ण स्क्रिप्ट का निष्पादन रोका जा सकता है। इस बीच, एक निवारक उपाय के रूप में, योगदानकर्ता-स्तर के अनुमतियों या उससे अधिक वाले उपयोगकर्ताओं के लिए संपादन एक्सेस को प्रतिबंधित करें, जिससे संभावित रूप से हानिकारक सामग्री को इंजेक्ट करने की क्षमता सीमित हो जाएगी। किसी भी हमले के प्रभाव को कम करने के लिए नियमित वेबसाइट बैकअप भी एक अच्छी प्रथा है।
संस्करण 3.33.4, या एक नया पैच किया हुआ संस्करण में अपडेट करें
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
WordPress में, योगदानकर्ता स्तर एक उपयोगकर्ता भूमिका है जो पोस्ट और पृष्ठों को संपादित करने की अनुमति देती है, लेकिन साइट के प्रबंधन की नहीं।
आप WordPress व्यवस्थापक डैशबोर्ड में 'प्लगइन' पर जाकर और सूची में 'Elementor' की खोज करके अपने Elementor संस्करण की जांच कर सकते हैं।
यदि आपको संदेह है कि आपकी साइट से समझौता किया गया है, तो आपको सभी पासवर्ड बदलना चाहिए, मैलवेयर के लिए साइट को स्कैन करना चाहिए और एक स्वच्छ बैकअप को पुनर्स्थापित करना चाहिए।
WordPress, सभी प्लगइन्स और थीम को अपडेट रखना, मजबूत पासवर्ड का उपयोग करना और वेब एप्लिकेशन फ़ायरवॉल (WAF) को सक्षम करना महत्वपूर्ण है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।