Pagelayer <= 2.0.7 - 'email' के माध्यम से अनधिकृत ईमेल हेडर इंजेक्शन (Email Header Injection) के लिए CRLF अनुक्रमों का अनुचित न्यूट्रलाइजेशन

CVE-2026-2442 WordPress के Page Builder: Pagelayer प्लगइन को प्रभावित करता है, जिससे अनधिकृत हमलावरों को मनमाना ईमेल हेडर इंजेक्ट करने की अनुमति मिलती है। यह संपर्क फ़ॉर्म हैंडलर में CRLF (कैरेज रिटर्न लाइन फीड) अनुक्रमों के उचित न्यूट्रलाइजेशन की विफलता के कारण है। प्लगइन हमलावर द्वारा नियंत्रित फ़ॉर्म फ़ील्ड में प्लेसहोल्डर प्रतिस्थापन करता है और फिर CR/LF वर्णों को हटाए बिना परिणामी मानों को ईमेल हेडर में पास करता है। एक हमलावर इस भेद्यता का उपयोग संपर्क फ़ॉर्म के माध्यम से भेजे गए ईमेल के प्राप्तकर्ता, विषय या अतिरिक्त हेडर को संशोधित करने के लिए कर सकता है, जिससे संभावित रूप से स्पैमिंग या ईमेल डिलीवरी में हेरफेर हो सकता है। CVSS के अनुसार इस भेद्यता की गंभीरता को 5.3 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है।

1. आरक्षित2026-02-13
2. प्रकाशित2026-03-28
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-04

इस भेद्यता का समाधान Page Builder: Pagelayer प्लगइन को संस्करण 2.0.8 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो ईमेल हेडर में उपयोग से पहले फ़ॉर्म फ़ील्ड में CRLF अनुक्रमों को सही ढंग से न्यूट्रलाइज़ करता है। प्लगइन के सभी उपयोगकर्ताओं को जोखिम को कम करने के लिए जल्द से जल्द इस अपडेट को लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, संपर्क फ़ॉर्म से संबंधित सर्वर लॉग में किसी भी संदिग्ध गतिविधि की जांच करें। यदि शोषण का संदेह है, तो उपयोगकर्ता खाते के पासवर्ड बदलें और वेबसाइट की व्यापक सुरक्षा स्कैन करें।

सक्रिय इंस्टॉलेशन

400Kज्ञात

प्लगइन रेटिंग