न्यूज़लेटर – वर्डप्रेस के लिए शानदार ईमेल भेजें <= 9.1.0 - न्यूज़लेटर अनसब्सक्रिप्शन में क्रॉस-साइट रिक्वेस्ट फोर्जरी

यह CSRF भेद्यता हमलावरों को न्यूज़लेटर ग्राहकों को उनकी जानकारी या सहमति के बिना अनसब्सक्राइब करने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण लिंक या फॉर्म बनाकर ऐसा कर सकते हैं जिसे वे उपयोगकर्ता को क्लिक करने या सबमिट करने के लिए प्रेरित करते हैं। इससे न्यूज़लेटर की प्रभावशीलता कम हो सकती है और ग्राहकों के साथ संबंध टूट सकते हैं। यदि हमलावर उपयोगकर्ता के अन्य डेटा तक पहुंच प्राप्त कर सकता है, तो यह भेद्यता डेटा उल्लंघनों का कारण भी बन सकती है। इस भेद्यता का उपयोग स्पैमिंग या फ़िशिंग हमलों के लिए भी किया जा सकता है।

WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.

• wordpress / composer / npm:

grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/

• wordpress / composer / npm:

wp plugin list | grep newsletter

• wordpress / composer / npm:

wp plugin update newsletter --all

• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.

1. 2026-01-20Disclosure

   disclosure

1. आरक्षित2026-01-16
2. प्रकाशित2026-01-20
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, तुरंत न्यूज़लेटर प्लगइन को संस्करण 9.1.1 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो CSRF हमलों से सुरक्षा प्रदान करता है। सुनिश्चित करें कि सभी न्यूज़लेटर क्रियाओं के लिए उचित नॉनस सत्यापन लागू किया गया है। प्लगइन के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करें और किसी भी संदिग्ध गतिविधि की निगरानी करें।

सक्रिय इंस्टॉलेशन

200Kलोकप्रिय

प्लगइन रेटिंग