प्लेटफ़ॉर्म
wordpress
घटक
twentig
में ठीक किया गया
1.9.8
CVE-2026-2602 WordPress के लिए Twentig प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता 'featuredImageSizeWidth' पैरामीटर में अपर्याप्त इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग के कारण होती है। इसका प्रभाव हमलावरों को वेब स्क्रिप्ट इंजेक्ट करने की अनुमति देता है। प्रभावित संस्करण 1.9.7 और उससे पहले के हैं। इस समस्या को 2.0 संस्करण में ठीक किया गया है।
CVE-2026-2602 भेद्यता Twentig Supercharged Block Editor प्लगइन के संस्करण 1.9.7 और उससे पहले को प्रभावित करती है। यह योगदानकर्ता-स्तर या उच्चतर पहुंच वाले प्रमाणित हमलावरों को वर्डप्रेस पृष्ठों में मनमाना वेब स्क्रिप्ट इंजेक्ट करने की अनुमति देता है। ये स्क्रिप्ट तब निष्पादित होंगी जब कोई उपयोगकर्ता इंजेक्ट किए गए पृष्ठ तक पहुंचता है, जिससे संवेदनशील जानकारी की चोरी, वेबसाइट सामग्री में हेरफेर या उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशन हो सकता है। CVSS स्कोर 6.4 है, जो मध्यम जोखिम का संकेत देता है, और संभावित हमलों को रोकने के लिए तत्काल ध्यान देने की आवश्यकता है। 'featuredImageSizeWidth' पैरामीटर के लिए उचित इनपुट सत्यापन की कमी इस भेद्यता का मुख्य कारण है।
योगदानकर्ता या उच्चतर पहुंच वाले हमलावर 'featuredImageSizeWidth' फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करके इस भेद्यता का फायदा उठा सकते हैं। यह कोड डेटाबेस में संग्रहीत किया जाएगा और किसी भी उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाएगा जो पृष्ठ पर जाता है, उनकी अनुमतियों की परवाह किए बिना। भेद्यता की आसान शोषण और साइट के सभी उपयोगकर्ताओं को प्रभावित करने की क्षमता इसे एक महत्वपूर्ण जोखिम बनाती है। हमलावर इस तकनीक का उपयोग सत्र कुकीज़ चोरी करने, उपयोगकर्ताओं को फ़िशिंग साइटों पर पुनर्निर्देशित करने या पूरी वेबसाइट को नियंत्रित करने के लिए कर सकते हैं।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान Twentig Supercharged Block Editor प्लगइन को संस्करण 2.0 या उच्चतर में अपडेट करना है, जिसमें CVE-2026-2602 के लिए सुरक्षा सुधार शामिल हैं। यदि तत्काल अपडेट संभव नहीं है, तो योगदानकर्ता-स्तर या उच्चतर पहुंच वाले उपयोगकर्ताओं की पहुंच को प्रतिबंधित करें और उनकी पृष्ठों को संपादित करने की क्षमता को सीमित करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से भी दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन प्रयासों का पता लगाने और उन्हें अवरुद्ध करने में मदद मिल सकती है। संभावित भेद्यताओं की पहचान करने और उन्हें कम करने के लिए वेबसाइट का नियमित सुरक्षा ऑडिट करना भी महत्वपूर्ण है।
संस्करण 2.0, या एक नए पैच किए गए संस्करण में अपडेट करें
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
WordPress में, "योगदानकर्ता" भूमिका वाले उपयोगकर्ता के पास पोस्ट लिखने और प्रकाशित करने की अनुमति होती है, लेकिन वे प्लगइन या थीम स्थापित नहीं कर सकते हैं या साइट सेटिंग्स को संशोधित नहीं कर सकते हैं।
WordPress व्यवस्थापक पैनल में, "प्लगइन" पर जाएं और "Twentig Supercharged Block Editor" खोजें। प्लगइन संस्करण प्लगइन नाम के नीचे प्रदर्शित होगा।
WAF (वेब एप्लिकेशन फ़ायरवॉल) एक सुरक्षा उपकरण है जो वेब एप्लिकेशन को हमलों से बचाता है। कई WAF उपलब्ध हैं, दोनों WordPress प्लगइन के रूप में और क्लाउड-आधारित सेवाओं के रूप में। Wordfence, Sucuri या Cloudflare जैसे विकल्पों पर शोध करें।
हालांकि इससे जोखिम कम हो सकता है, लेकिन यह एक पूर्ण समाधान नहीं है। भेद्यता को हल करने का सबसे सुरक्षित तरीका संस्करण 2.0 या उच्चतर में अपडेट करना है।
यदि आपको संदेह है कि आपकी साइट से समझौता किया गया है, तो तुरंत सभी व्यवस्थापक पासवर्ड बदलें, अपनी साइट को मैलवेयर के लिए स्कैन करें और साइट की एक साफ बैकअप पुनर्स्थापित करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।