प्लेटफ़ॉर्म
wordpress
घटक
elementor
में ठीक किया गया
3.29.1
CVE-2025-3075 Elementor वेबसाइट बिल्डर प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो WordPress वेबसाइटों पर हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इस भेद्यता का प्रभाव यह है कि हमलावर उपयोगकर्ता के ब्राउज़र में स्क्रिप्ट चला सकते हैं, जिससे संवेदनशील जानकारी चोरी हो सकती है या वेबसाइट की कार्यक्षमता में हेरफेर किया जा सकता है। यह भेद्यता Elementor के 0.0.0 से 3.29.0 तक के संस्करणों को प्रभावित करती है, लेकिन संस्करण 3.30.0 में एक पैच जारी किया गया है।
CVE-2025-3075 वर्डप्रेस के एलिमेंटर प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। एक प्रमाणित हमलावर, योगदानकर्ता-स्तर के पहुंच या उससे अधिक के साथ, प्लगइन के 'एलिमेंटर-एलिमेंट' शॉर्टकोड के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। जब कोई उपयोगकर्ता संक्रमित पृष्ठ पर जाता है, तो यह कोड निष्पादित होगा, जिससे संवेदनशील जानकारी की चोरी, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट या पृष्ठ सामग्री में हेरफेर हो सकता है। इस भेद्यता का मूल कारण शॉर्टकोड में उपयोगकर्ता-प्रदत्त विशेषताओं के लिए अपर्याप्त इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग है। बड़ी संख्या में उपयोगकर्ताओं और उपयोगकर्ता-जनित सामग्री वाले वेबसाइटों के लिए प्रभाव महत्वपूर्ण है।
एलिमेंटर का उपयोग करने वाली वर्डप्रेस साइट पर योगदानकर्ता या उच्च स्तर की पहुंच रखने वाला हमलावर इस भेद्यता का फायदा उठा सकता है। वे 'एलिमेंटर-एलिमेंट' शॉर्टकोड का उपयोग करके एक पृष्ठ बना या संशोधित कर सकते हैं और एक विशेषता के रूप में दुर्भावनापूर्ण जावास्क्रिप्ट को इंजेक्ट कर सकते हैं। जब अन्य उपयोगकर्ता (प्रशासकों सहित) पृष्ठ पर जाते हैं, तो दुर्भावनापूर्ण कोड उनके ब्राउज़रों में निष्पादित होता है। शोषण की कठिनाई अपेक्षाकृत कम है, क्योंकि इसके लिए केवल एलिमेंटर स्थापित वर्डप्रेस साइट तक प्रमाणित पहुंच की आवश्यकता होती है। एलिमेंटर के व्यापक उपयोग और दुर्भावनापूर्ण कोड को इंजेक्ट करने में आसानी को देखते हुए, शोषण की संभावना अधिक है।
WordPress websites utilizing the Elementor Website Builder plugin, particularly those with 'Element Caching' enabled, are at risk. Shared hosting environments where users have contributor-level access or higher are especially vulnerable, as they provide a potential attack vector for malicious script injection.
• wordpress / composer / npm:
grep -r 'elementor-element shortcode' /var/www/html/wp-content/plugins/elementor/src/• wordpress / composer / npm:
wp plugin list --status=active | grep elementor• wordpress / composer / npm:
wp plugin update elementor• generic web:
Check Elementor plugin version using curl -I <wordpresssiteurl>/wp-content/plugins/elementor/elementor.php and verify it's >= 3.30.0.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने का प्राथमिक उपाय एलिमेंटर प्लगइन को संस्करण 3.30.0 या उच्चतर में अपडेट करना है। इस अपडेट में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, किसी भी संभावित कोड इंजेक्शन के लिए मौजूदा वेब पृष्ठों की जांच करें और उन्हें हटा दें। सभी प्लगइन्स और वर्डप्रेस कोर को नियमित रूप से अपडेट करना हमले की सतह को कम करने के लिए महत्वपूर्ण है। एक मजबूत पासवर्ड नीति लागू करना और सभी उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण को सक्षम करना सुरक्षा को और बढ़ा सकता है जिनके पास संपादन विशेषाधिकार हैं।
Actualice el plugin Elementor a la versión 3.30.0 o posterior para mitigar la vulnerabilidad de XSS. Asegúrese de que 'Element Caching' esté deshabilitado o configurado correctamente para evitar la persistencia de scripts maliciosos. Revise las páginas para eliminar cualquier contenido sospechoso inyectado antes de la actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
इसका मतलब है कि हमलावर के पास वर्डप्रेस में पृष्ठ और पोस्ट बनाने और संपादित करने का अधिकार है, लेकिन उसके पास पूरी साइट पर पूर्ण नियंत्रण नहीं है।
यदि आप एलिमेंटर के 3.30.0 से पुराने संस्करण का उपयोग कर रहे हैं, तो आपकी साइट कमजोर है। जितनी जल्दी हो सके अपडेट करें।
सभी पासवर्ड बदलें, अपनी साइट को मैलवेयर के लिए स्कैन करें और स्वच्छ बैकअप से पुनर्स्थापित करने पर विचार करें।
ऐसे कई वेब भेद्यता स्कैनिंग उपकरण हैं जो आपको XSS का पता लगाने में मदद कर सकते हैं, जैसे OWASP ZAP और Burp Suite।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।