प्लेटफ़ॉर्म
wordpress
घटक
elementor
में ठीक किया गया
3.35.8
CVE-2026-1206 वर्डप्रेस के लिए Elementor Website Builder प्लगइन में एक भेद्यता है जो संवेदनशील जानकारी के जोखिम का कारण बनती है। इस भेद्यता के कारण, प्रमाणीकृत हमलावर निजी या ड्राफ्ट Elementor टेम्पलेट सामग्री को पढ़ सकते हैं। यह भेद्यता 3.35.7 तक के सभी संस्करणों को प्रभावित करती है। संस्करण 3.35.8 में इस समस्या को ठीक कर दिया गया है।
Elementor का CVE-2026-1206 उन WordPress वेबसाइटों को प्रभावित करता है जो Elementor Website Builder प्लगइन के 3.35.8 से पहले के संस्करणों का उपयोग करती हैं। यह योगदानकर्ता-स्तरीय या उससे ऊपर के एक्सेस वाले प्रमाणित हमलावरों को निजी या ड्राफ्ट टेम्पलेट सामग्री तक पहुंचने की अनुमति देता है। यह isallowedtoreadtemplate() फ़ंक्शन के एक्सेस नियंत्रण जांच में एक तार्किक त्रुटि के कारण है, जो अप्रकाशित टेम्पलेट्स को पढ़ने योग्य के रूप में मानता है बिना संपादन अनुमतियों को सत्यापित किए। इस टेम्पलेट सामग्री का खुलासा डिज़ाइन, कस्टम सामग्री और साइट-विशिष्ट कॉन्फ़िगरेशन जैसी संवेदनशील जानकारी को उजागर कर सकता है, जिससे वेबसाइट की अखंडता और गोपनीयता खतरे में पड़ सकती है। इस भेद्यता के लिए CVSS स्कोर 4.3 है, जो मध्यम जोखिम दर्शाता है।
Elementor के साथ एक कमजोर WordPress साइट पर योगदानकर्ता या उससे ऊपर के एक्सेस वाले एक हमलावर इस भेद्यता का फायदा उठा सकते हैं। हमलावर सावधानीपूर्वक तैयार किए गए HTTP अनुरोधों के माध्यम से निजी या ड्राफ्ट टेम्पलेट्स तक पहुंच सकता है, बिना अपने योगदानकर्ता क्रेडेंशियल्स से परे किसी अतिरिक्त प्रमाणीकरण की आवश्यकता के। इसमें URL में पैरामीटर में हेरफेर करना या विशिष्ट डेटा के साथ POST अनुरोध भेजना शामिल हो सकता है। सफल शोषण हमलावर को टेम्पलेट सामग्री देखने की अनुमति देगा, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या वेबसाइट में अनधिकृत संशोधन की अनुमति मिल सकती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-1206 को कम करने का समाधान Elementor Website Builder प्लगइन को संस्करण 3.35.8 या उससे ऊपर के संस्करण में अपडेट करना है। यह अपडेट isallowedtoreadtemplate() फ़ंक्शन में तार्किक त्रुटि को ठीक करता है और सुनिश्चित करता है कि केवल आवश्यक संपादन अनुमतियों वाले उपयोगकर्ता ही टेम्पलेट सामग्री तक पहुंच सकें। संभावित हमलों से अपनी वेबसाइट की सुरक्षा के लिए इस अपडेट को जल्द से जल्द करना उचित है। इसके अतिरिक्त, संभावित हमलों से अपनी वेबसाइट की सुरक्षा के लिए अपनी WordPress साइट पर उपयोगकर्ता अनुमतियों की समीक्षा करें ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील संपादन कार्यों तक पहुंच प्राप्त हो। किसी भी सुरक्षा घटना से उबरने के लिए नियमित वेबसाइट बैकअप भी एक अच्छी प्रथा है।
संस्करण 3.35.8, या एक नए पैच किए गए संस्करण में अपडेट करें
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Elementor एक लोकप्रिय WordPress प्लगइन है जो उपयोगकर्ताओं को प्रोग्रामिंग ज्ञान की आवश्यकता के बिना दृश्य रूप से वेबसाइट बनाने और अनुकूलित करने की अनुमति देता है।
यदि आप Elementor के 3.35.8 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपकी साइट कमजोर है। आप अपने WordPress व्यवस्थापक डैशबोर्ड में "प्लगइन" अनुभाग के तहत Elementor संस्करण की जांच कर सकते हैं।
यदि आप तुरंत Elementor को अपडेट नहीं कर सकते हैं, तो योगदानकर्ता विशेषाधिकार वाले उपयोगकर्ताओं के लिए संवेदनशील संपादन कार्यों तक पहुंच को प्रतिबंधित करने पर विचार करें।
ऐसे WordPress भेद्यता स्कैनर हैं जो इस भेद्यता का पता लगा सकते हैं। अधिक जानकारी के लिए अपने वेब सुरक्षा प्रदाता से परामर्श करें।
डिज़ाइन, टेक्स्ट, इमेज और साइट-विशिष्ट कॉन्फ़िगरेशन सहित टेम्पलेट सामग्री उजागर हो सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।