Pz-LinkCard <= 2.5.8.1 - प्रमाणित (योगदानकर्ता+) संग्रहीत क्रॉस-साइट स्क्रिप्टिंग लघुकोड विशेषताओं के माध्यम से

CVE-2026-2434 WordPress के लिए Pz-LinkCard प्लगइन को प्रभावित करता है, जिससे संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता उत्पन्न होती है। इसका मतलब है कि योगदानकर्ता-स्तर या उससे ऊपर के एक्सेस वाले प्रमाणित हमलावर WordPress पृष्ठों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकते हैं। जब अन्य उपयोगकर्ता इन पृष्ठों पर जाते हैं, तो स्क्रिप्ट उनके ब्राउज़र में निष्पादित होती है, जिससे हमलावर कुकीज़ चुराने, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या उपयोगकर्ता की ओर से अन्य क्रियाएं करने में सक्षम हो सकता है। इस भेद्यता का मूल कारण 'blogcard' शॉर्टकोड विशेषता के भीतर इनपुट सत्यापन की कमी है। CVSS पर प्रभाव की गंभीरता को 6.4 के रूप में रेट किया गया है, जो मध्यम से उच्च जोखिम दर्शाता है। इस जोखिम को कम करने के लिए प्लगइन को अपडेट करना महत्वपूर्ण है।

1. आरक्षित2026-02-12
2. प्रकाशित2026-04-17
3. संशोधित2026-04-22
4. EPSS अद्यतन2026-04-25

CVE-2026-2434 के लिए समाधान Pz-LinkCard प्लगइन को संस्करण 2.5.9 या उससे ऊपर के संस्करण में अपडेट करना है। इस संस्करण में दुर्भावनापूर्ण स्क्रिप्ट के इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, 2.5.9 से पहले के संस्करणों में 'blogcard' शॉर्टकोड का उपयोग करने वाले सभी पृष्ठों की जांच करना उचित है ताकि किसी भी इंजेक्टेड कोड का पता लगाया जा सके। यदि इंजेक्शन पाया जाता है, तो उन्हें हटाना और प्लगइन को अपडेट करना महत्वपूर्ण है। निवारक उपाय के रूप में, वेबसाइट पर सामग्री सुरक्षा नीति (CSP) को लागू करने पर विचार करें ताकि निष्पादित किए जा सकने वाले स्क्रिप्ट के स्रोतों को सीमित किया जा सके, जिससे भविष्य के XSS हमलों का संभावित प्रभाव कम हो सके।

सक्रिय इंस्टॉलेशन

20Kज्ञात

प्लगइन रेटिंग