प्लेटफ़ॉर्म
wordpress
घटक
legacy-admin
में ठीक किया गया
9.5.1
CVE-2026-22524 Legacy Admin में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को वेब पेज उत्पन्न करते समय इनपुट को ठीक से साफ न करने का फायदा उठाने की अनुमति देती है। इस भेद्यता का प्रभाव संवेदनशील जानकारी की चोरी या उपयोगकर्ता के खाते पर नियंत्रण शामिल हो सकता है। यह भेद्यता Legacy Admin के संस्करण 0.0.0 से 9.5 तक के संस्करणों को प्रभावित करती है। नवीनतम संस्करण में अपग्रेड करके या सुरक्षा उपायों को लागू करके इस समस्या का समाधान किया जा सकता है।
यह XSS भेद्यता हमलावरों को दुर्भावनापूर्ण जावास्क्रिप्ट कोड को Legacy Admin वेबसाइट में इंजेक्ट करने की अनुमति देती है। जब कोई उपयोगकर्ता प्रभावित पृष्ठ पर जाता है, तो यह स्क्रिप्ट निष्पादित हो जाएगी, जिससे हमलावर उपयोगकर्ता के ब्राउज़र के माध्यम से संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, जैसे कि कुकीज़, सत्र टोकन और अन्य व्यक्तिगत डेटा। इसके अतिरिक्त, हमलावर उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं या उपयोगकर्ता के खाते पर नियंत्रण हासिल कर सकते हैं। इस भेद्यता का उपयोग फ़िशिंग हमलों को अंजाम देने या वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने के लिए भी किया जा सकता है। यह भेद्यता अन्य XSS भेद्यताओं के समान है, जहां हमलावर उपयोगकर्ता के इनपुट को दूषित करके दुर्भावनापूर्ण कोड इंजेक्ट करते हैं।
CVE-2026-22524 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं को अक्सर शोषण किया जाता है। इस CVE को CISA KEV में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, जो इस भेद्यता का फायदा उठाने के लिए हमलावरों को मार्गदर्शन प्रदान कर सकते हैं। NVD और CISA की वेबसाइटों पर नवीनतम जानकारी के लिए निगरानी रखना महत्वपूर्ण है।
Administrators and users of websites utilizing ThemePassion Legacy Admin are at risk. Specifically, those using older, unpatched versions (0.0.0 through 9.5) are highly vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'Legacy Admin' /var/www/html/wp-content/plugins/
wp plugin list | grep Legacy Admin• generic web:
curl -I 'https://your-website.com/admin/index.php?param=<script>alert(1)</script>' | grep Content-Typedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-22524 के प्रभाव को कम करने के लिए, Legacy Admin को नवीनतम संस्करण में अपग्रेड करना महत्वपूर्ण है, जिसमें इस भेद्यता को ठीक किया गया है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है ताकि दुर्भावनापूर्ण स्क्रिप्ट को ब्लॉक किया जा सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके XSS हमलों को रोका जा सकता है। WAF नियमों को इस तरह कॉन्फ़िगर किया जाना चाहिए कि वे XSS हमलों के सामान्य पैटर्न को पहचान सकें और उन्हें रोक सकें। Legacy Admin के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और किसी भी असुरक्षित कॉन्फ़िगरेशन को ठीक करना भी महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्रभावित पृष्ठों का परीक्षण करें।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22524 Legacy Admin में एक XSS भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Legacy Admin के संस्करण 0.0.0 से 9.5 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Legacy Admin को नवीनतम संस्करण में अपग्रेड करें या WAF नियमों का उपयोग करें।
CVE-2026-22524 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं को अक्सर शोषण किया जाता है।
Legacy Admin की वेबसाइट पर या संबंधित सुरक्षा बुलेटिन बोर्ड पर आधिकारिक सलाहकार खोजें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।