प्लेटफ़ॉर्म
wordpress
घटक
elementor
में ठीक किया गया
3.30.3
CVE-2025-4566 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Elementor Website Builder plugin for WordPress. This flaw allows authenticated attackers with Contributor-level access or higher to inject malicious web scripts into pages, which are executed when a user accesses the compromised page. This vulnerability affects versions up to and including 3.30.2, and is specific to Chrome and Edge browsers. Currently, there is no official patch available to address this issue.
Elementor वेबसाइट बिल्डर प्लगइन में CVE-2025-4566 भेद्यता 3.30.2 और उससे पहले के संस्करणों को प्रभावित करती है, जिससे संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) हमला संभव हो जाता है। योगदानकर्ता-स्तर के या उससे ऊपर के पहुंच अधिकारों वाले प्रमाणित हमलावर 'Text Path' विजेट के 'data-text' विशेषता के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकते हैं। जब भी कोई उपयोगकर्ता इंजेक्ट किए गए पृष्ठ तक पहुंचता है, तो यह कोड निष्पादित होगा। मुख्य प्रभाव संभावित पहचान की चोरी, सत्र कुकी की चोरी, दुर्भावनापूर्ण साइटों पर रीडायरेक्ट या पृष्ठ सामग्री का संशोधन है, जिससे वेबसाइट की सुरक्षा और अखंडता से समझौता होता है। CVSS स्कोर 6.4 है, जो मध्यम से उच्च जोखिम दर्शाता है।
Elementor का उपयोग करने वाली वेबसाइट पर योगदानकर्ता या उससे ऊपर के पहुंच अधिकारों वाले एक हमलावर इस भेद्यता का फायदा उठा सकते हैं। हमलावर 'Text Path' विजेट के 'data-text' विशेषता में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करता है। यह कोड वेबसाइट के डेटाबेस में संग्रहीत होता है और जब भी कोई उपयोगकर्ता उस पृष्ठ पर जाता है जिसमें समझौता किया गया विजेट होता है, तो यह निष्पादित होता है। दुर्भावनापूर्ण कोड के निष्पादन से हमलावर उपयोगकर्ता की ओर से कार्रवाई करने में सक्षम हो सकता है, जैसे कि गोपनीय जानकारी चोरी करना या वेबसाइट की सामग्री को संशोधित करना। Elementor के व्यापक अपनाने और दुर्भावनापूर्ण कोड को इंजेक्ट करने में सापेक्ष आसानी के कारण इस भेद्यता का फायदा उठाना आसान है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
तत्काल उपाय Elementor प्लगइन को संस्करण 3.30.3 या उससे ऊपर के संस्करण में अपडेट करना है। यह अपडेट 'Text Path' विजेट में उचित इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग को लागू करके भेद्यता को ठीक करता है। इसके अतिरिक्त, योगदानकर्ता या उससे ऊपर के विशेषाधिकारों वाले उपयोगकर्ताओं द्वारा बनाए या संपादित किए गए पृष्ठों सहित मौजूदा पृष्ठों में संभावित दुर्भावनापूर्ण कोड इंजेक्शन की जांच करें। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से XSS हमले के प्रभाव को कम करने में मदद मिल सकती है, भले ही भेद्यता तुरंत ठीक न हो। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करना भी एक अच्छी सुरक्षा प्रथा है।
Actualice el plugin Elementor a la versión 3.30.3 o superior para mitigar la vulnerabilidad de XSS. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar. Esta actualización aborda la falta de sanitización y escape de salida que permitía la inyección de scripts maliciosos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Elementor का उपयोग करते हैं और आपके पास 3.30.2 या पहले का संस्करण है, तो आप संभवतः प्रभावित हैं। योगदानकर्ता विशेषाधिकारों या उससे ऊपर के उपयोगकर्ताओं द्वारा बनाए गए पृष्ठों में संदिग्ध कोड की जांच करें।
WordPress में योगदानकर्ता एक उपयोगकर्ता भूमिका है जिसके पास सामग्री प्रकाशित और संपादित करने के लिए सीमित अधिकार हैं।
हाँ, संस्करण 3.30.3 या उससे ऊपर के संस्करण में अपडेट करना मुख्य समाधान है। हालाँकि, मौजूदा पृष्ठों में संभावित इंजेक्शन की जांच करना भी अनुशंसित है।
CSP एक सुरक्षा तंत्र है जो वेबसाइट प्रशासकों को ब्राउज़र द्वारा लोड करने की अनुमति दी जाने वाली संसाधनों को नियंत्रित करने की अनुमति देता है, जिससे XSS हमलों को रोकने में मदद मिलती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।