प्लेटफ़ॉर्म
joomla
में ठीक किया गया
4.0.1
6.0.1
CVE-2026-21631 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो बहुभाषी संघ घटक में आउटपुट एस्केपिंग की कमी के कारण उत्पन्न होती है। इस भेद्यता का शोषण करने वाला हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता 4.0.0 से 6.0.3 तक के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करना या उचित आउटपुट एस्केपिंग लागू करना आवश्यक है।
यह XSS भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने की अनुमति देती है, जो तब ब्राउज़र द्वारा निष्पादित की जाती है जब कोई उपयोगकर्ता प्रभावित पृष्ठ पर जाता है। हमलावर कुकीज़, सत्र टोकन और अन्य संवेदनशील जानकारी चुरा सकते हैं। वे उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकते हैं या उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण क्रियाएं कर सकते हैं। इस भेद्यता का उपयोग फ़िशिंग हमलों को लॉन्च करने या सिस्टम पर नियंत्रण प्राप्त करने के लिए भी किया जा सकता है। चूंकि यह बहुभाषी संघ घटक को प्रभावित करता है, इसलिए इसका प्रभाव कई पृष्ठों और उपयोगकर्ताओं तक फैल सकता है, जिससे व्यापक क्षति हो सकती है।
CVE-2026-21631 की गंभीरता का मूल्यांकन अभी भी किया जा रहा है। सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, लेकिन XSS भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। इस CVE को 2026-04-01 को प्रकाशित किया गया था। इस भेद्यता के सक्रिय शोषण के कोई ज्ञात अभियान नहीं हैं। NVD और CISA की वेबसाइटों पर नवीनतम जानकारी की निगरानी करें।
Websites utilizing Joomla's multilingual associations component, particularly those running vulnerable versions (4.0.0–6.0.3), are at risk. Shared hosting environments where multiple websites share the same Joomla installation are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/plugins/multilingual_associations/*• generic web:
curl -I https://your-joomla-site.com/plugins/multilingual_associations/?param=<script>alert(1)</script>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVE-2026-21631 के लिए तत्काल शमन में, आउटपुट एस्केपिंग को लागू करना महत्वपूर्ण है। सभी उपयोगकर्ता-प्रदत्त डेटा को प्रदर्शित करने से पहले ठीक से एस्केप किया जाना चाहिए। यदि अपडेट करना संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक किया जा सकता है। WAF को उन पैटर्न को पहचानने और ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो XSS हमलों से जुड़े हैं। इसके अतिरिक्त, सामग्री सुरक्षा नीति (CSP) को लागू करने से ब्राउज़र को केवल विश्वसनीय स्रोतों से स्क्रिप्ट लोड करने की अनुमति देकर XSS हमलों के प्रभाव को कम किया जा सकता है। अपडेट के बाद, यह सत्यापित करें कि आउटपुट एस्केपिंग ठीक से लागू किया गया है और कोई XSS भेद्यता शेष नहीं है।
Actualice Joomla! a la última versión disponible. Esto solucionará la vulnerabilidad XSS en el componente de asociaciones multilingües.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह बहुभाषी संघ घटक में आउटपुट एस्केपिंग की कमी के कारण एक XSS भेद्यता है, जिससे हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं।
यदि आप 4.0.0 से 6.0.3 तक के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हो सकते हैं।
नवीनतम संस्करण में अपडेट करें या आउटपुट एस्केपिंग लागू करें। WAF और CSP का उपयोग करके शमन किया जा सकता है।
वर्तमान में सक्रिय शोषण के कोई ज्ञात अभियान नहीं हैं, लेकिन भेद्यता का शोषण किया जा सकता है।
NVD और CISA की वेबसाइटों पर नवीनतम जानकारी की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।