प्लेटफ़ॉर्म
wordpress
घटक
widget-options
में ठीक किया गया
4.1.4
CVE-2026-27984 एक कोड इंजेक्शन भेद्यता है जो Marketing Fire के Widget Options में पाई गई है। यह भेद्यता हमलावरों को मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता Widget Options के संस्करण 0.0.0 से 4.1.3 तक के संस्करणों को प्रभावित करती है। 4.2.0 में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता बेहद गंभीर है क्योंकि यह हमलावरों को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती है। एक हमलावर इस भेद्यता का उपयोग संवेदनशील डेटा चोरी करने, सिस्टम को दूषित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकता है। चूंकि यह वर्डप्रेस प्लगइन है, इसलिए व्यापक रूप से तैनात सिस्टम विशेष रूप से जोखिम में हैं। इस भेद्यता का शोषण करने के लिए हमलावर को प्लगइन के माध्यम से दुर्भावनापूर्ण कोड इंजेक्ट करने की आवश्यकता होगी। यदि सफल हो, तो वे सर्वर पर कमांड निष्पादित कर सकते हैं, डेटाबेस तक पहुंच प्राप्त कर सकते हैं, और संभावित रूप से अन्य कनेक्टेड सिस्टम में भी प्रवेश कर सकते हैं।
CVE-2026-27984 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी गंभीरता को देखते हुए, इसका जल्द ही शोषण किया जा सकता है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इसका शोषण करना आसान बना सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। NVD ने 2026-03-05 को इस भेद्यता को प्रकाशित किया।
WordPress websites utilizing the Widget Options plugin, particularly those running older versions (0.0.0–4.1.3), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites relying on legacy WordPress installations or those with inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'eval(' /var/www/html/wp-content/plugins/widget-options/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/widget-options/ | grep -i 'Content-Type: application/x-php' # Check for PHP content served directlydisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे महत्वपूर्ण शमन कदम Widget Options को संस्करण 4.2.0 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके कोड इंजेक्शन प्रयासों को ब्लॉक करने का प्रयास करें। WAF नियमों को विशिष्ट पैटर्न की तलाश में कॉन्फ़िगर किया जाना चाहिए जो कोड इंजेक्शन हमलों से जुड़े हैं। इसके अतिरिक्त, प्लगइन की फ़ाइलों और कॉन्फ़िगरेशन की नियमित रूप से निगरानी करें ताकि किसी भी अनधिकृत परिवर्तन का पता लगाया जा सके। वर्डप्रेस के लिए, प्लगइन फ़ाइलों की अखंडता की जांच करने के लिए एक सुरक्षा प्लगइन का उपयोग करने पर विचार करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का सफलतापूर्वक समाधान किया गया है, प्लगइन के माध्यम से एक परीक्षण अनुरोध भेजकर सत्यापित करें।
संस्करण 4.2.0 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-27984 एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो Marketing Fire के Widget Options प्लगइन के संस्करण 0.0.0 से 4.1.3 को प्रभावित करती है, जिससे हमलावर मनमाना कोड निष्पादित कर सकते हैं।
यदि आप Widget Options के संस्करण 0.0.0 से 4.1.3 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Widget Options को संस्करण 4.2.0 या उच्चतर में अपडेट करें।
CVE-2026-27984 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी गंभीरता को देखते हुए, इसका जल्द ही शोषण किया जा सकता है।
कृपया Marketing Fire की वेबसाइट पर जाएं या उनके सुरक्षा एडवाइजरी अनुभाग की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।