प्लेटफ़ॉर्म
wordpress
घटक
darna-framework
में ठीक किया गया
2.9.1
Darna Framework में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है, जहाँ वेब पेज जनरेशन के दौरान इनपुट को ठीक से निष्क्रिय नहीं किया जाता है। इसका मतलब है कि एक हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या वेबसाइट की कार्यक्षमता में बदलाव किया जा सकता है। यह भेद्यता Darna Framework के 0.0.0 से 2.9 तक के संस्करणों को प्रभावित करती है। 2026-03-25 को यह भेद्यता सार्वजनिक की गई थी और इसे ठीक करने के लिए अपडेट जारी किया जाना है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है। हमलावर उपयोगकर्ता के कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी प्राप्त कर सकते हैं, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। यदि वेबसाइट में डेटाबेस कनेक्टिविटी है, तो हमलावर डेटाबेस से जानकारी निकालने का प्रयास कर सकते हैं। इस भेद्यता का उपयोग फिशिंग हमलों को अंजाम देने या वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने के लिए भी किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावर को उपयोगकर्ता के ब्राउज़र के माध्यम से वेबसाइट को नियंत्रित करने की अनुमति देती है।
यह भेद्यता 2026-03-25 को सार्वजनिक की गई थी। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं मिले हैं, लेकिन XSS भेद्यता के कारण, इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। इस भेद्यता का जोखिम मध्यम है क्योंकि यह अपेक्षाकृत आसान है और इसका उपयोग विभिन्न प्रकार के हमलों को अंजाम देने के लिए किया जा सकता है।
Websites utilizing the Darna Framework plugin, particularly those with user input fields or parameters that are not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/darna-framework/*• generic web:
curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep 'Content-Type' # Check for Content-Type: text/htmldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Darna Framework के नवीनतम संस्करण में अपग्रेड करना सबसे अच्छा तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक किया जा सकता है। WAF नियमों को इस तरह से कॉन्फ़िगर किया जाना चाहिए कि वे दुर्भावनापूर्ण स्क्रिप्ट को पहचान सकें और उन्हें ब्लॉक कर सकें। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके XSS हमलों के जोखिम को कम किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से सत्यापित किया गया है और आउटपुट को सुरक्षित रूप से एन्कोड किया गया है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, वेबसाइट का परीक्षण करें।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय अपनाएं। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-27088 Darna Framework में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जहाँ वेब पेज जनरेशन के दौरान इनपुट को ठीक से निष्क्रिय नहीं किया जाता है।
यदि आप Darna Framework के संस्करण 0.0.0 से 2.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Darna Framework के नवीनतम संस्करण में अपग्रेड करें या WAF नियमों का उपयोग करके XSS हमलों को ब्लॉक करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, XSS भेद्यता के कारण इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए Darna Framework की वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।