PostX <= 5.0.8 - प्रमाणित (व्यवस्थापक+) REST API एंडपॉइंट्स के माध्यम से सर्वर-साइड रिक्वेस्ट फोर्जरी

यह SSRF भेद्यता एक प्रमाणित हमलावर, जिसके पास व्यवस्थापक-स्तर की पहुंच है, को वेब एप्लिकेशन से उत्पन्न होकर मनमाने स्थानों पर वेब अनुरोध करने की अनुमति देती है। हमलावर आंतरिक सेवाओं से जानकारी प्राप्त करने या उन्हें संशोधित करने के लिए इस भेद्यता का उपयोग कर सकते हैं। उदाहरण के लिए, हमलावर आंतरिक डेटाबेस से संवेदनशील जानकारी प्राप्त कर सकते हैं या आंतरिक सेवाओं को दुर्भावनापूर्ण अनुरोध भेज सकते हैं। इस भेद्यता का उपयोग आंतरिक नेटवर्क तक पहुंचने और अन्य प्रणालियों को लक्षित करने के लिए भी किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।

WordPress websites utilizing the Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX plugin, particularly those running versions 0.0.0 through 5.0.8, are at risk. Sites with weak password policies or compromised administrator accounts are especially vulnerable. Shared hosting environments where plugin updates are not consistently managed also face increased risk.

• wordpress / composer / npm:

grep -r 'ultp/v3/starter_dummy_post/' /var/www/html/wp-content/plugins/postx/

• generic web:

curl -I https://your-wordpress-site.com/ultp/v3/starter_dummy_post/ | grep HTTP/1.1

1. 2026-03-04Disclosure

   disclosure

1. आरक्षित2026-01-20
2. प्रकाशित2026-03-04
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

CVE-2026-1273 के लिए तत्काल शमन कदम PostX प्लगइन को संस्करण 5.0.9 में अपडेट करना है। यदि अपग्रेड करने में समस्या आ रही है, तो प्लगइन को रोलबैक करने से पहले बैकअप लेना सुनिश्चित करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके /ultp/v3/starterdummypost/ और /ultp/v3/starterimportcontent/ एंडपॉइंट्स तक पहुंच को सीमित करने पर विचार करें। इन एंडपॉइंट्स के लिए सख्त इनपुट सत्यापन लागू करें ताकि यह सुनिश्चित किया जा सके कि अनुरोध वैध हैं।

सक्रिय इंस्टॉलेशन

40Kलोकप्रिय

प्लगइन रेटिंग