WordPress CloudFlare(R) Cache Purge प्लगइन <= 1.2 - रिफ्लेक्टेड क्रॉस साइट स्क्रिप्टिंग (XSS) भेद्यता

यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है, जिससे संवेदनशील जानकारी चोरी हो सकती है, उपयोगकर्ता को धोखा दिया जा सकता है, या वेबसाइट की कार्यक्षमता में हेरफेर किया जा सकता है। हमलावर कुकीज़ चुरा सकते हैं, उपयोगकर्ता को फ़िशिंग साइटों पर रीडायरेक्ट कर सकते हैं, या वेबसाइट के रूप को बदल सकते हैं। इस भेद्यता का उपयोग अन्य हमलों को लॉन्च करने के लिए भी किया जा सकता है, जैसे कि सत्र अपहरण या क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF)। चूंकि यह CloudFlare(R) Cache Purge में है, इसलिए यह उन वेबसाइटों को विशेष रूप से प्रभावित करता है जो इस प्लगइन का उपयोग कैशिंग के लिए करते हैं, जिससे संभावित रूप से व्यापक क्षति हो सकती है।

WordPress websites utilizing the shanaver CloudFlare Cache Purge plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at risk. Shared hosting environments where plugin updates are managed centrally may also be vulnerable if they haven't applied the patch.

• wordpress / composer / npm:

grep -r 'shanaver CloudFlare Cache Purge' /wp-content/plugins/
wp plugin list | grep 'cloudflare-cache-purge'

• generic web:

curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep 'Content-Security-Policy'

1. 2025-01-31Disclosure

   disclosure

1. आरक्षित2025-01-03
2. प्रकाशित2025-01-31
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-04-02

CloudFlare(R) Cache Purge को संस्करण 1.2.1 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करने पर विचार करें। WAF नियमों को XSS हमलों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, प्लगइन के इनपुट फ़ील्ड में सभी उपयोगकर्ता-प्रदत्त इनपुट को सावधानीपूर्वक सैनिटाइज करें और एन्कोड करें। प्लगइन के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करें ताकि यह सुनिश्चित हो सके कि यह सुरक्षित रूप से कॉन्फ़िगर किया गया है।