Xpro Addons — Elementor के लिए 140+ विजेट्स (Widgets) <= 1.4.24 - प्रमाणित (Contributor+) आइकन बॉक्स विजेट (Icon Box Widget) के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Stored Cross-Site Scripting)

CVE-2026-2949 WordPress के लिए Xpro Addons — 140+ Widgets for Elementor प्लगइन को प्रभावित करता है, संस्करण 1.4.24 और उससे पहले के संस्करणों में Icon Box विजेट के माध्यम से एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को उजागर करता है। योगदानकर्ता-स्तर के या उससे अधिक पहुंच वाले एक प्रमाणित हमलावर मनमाना वेब स्क्रिप्ट को पृष्ठों में इंजेक्ट कर सकता है। जब भी कोई उपयोगकर्ता इंजेक्ट किए गए पृष्ठ तक पहुंचता है, तो इन स्क्रिप्ट्स को निष्पादित किया जाएगा। यह हमलावरों को संभावित रूप से संवेदनशील जानकारी चुराने, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या उपयोगकर्ता की ओर से कार्रवाई करने की अनुमति देता है। CVSS स्कोर 6.4 होने का संकेत है कि बड़ी संख्या में उपयोगकर्ताओं या संवेदनशील डेटा को संभालने वाली साइटों के लिए जोखिम मध्यम से उच्च है।

1. आरक्षित2026-02-21
2. प्रकाशित2026-04-04
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-11

मुख्य शमन उपाय Xpro Addons प्लगइन को संस्करण 1.4.25 या बाद के संस्करण में अपडेट करना है। इस अपडेट में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, बढ़ी हुई विशेषाधिकार वाले उपयोगकर्ताओं द्वारा संपादित किए गए सहित, WordPress पृष्ठों पर संदिग्ध सामग्री की जांच करें। एक मजबूत पासवर्ड नीति लागू करना और सभी व्यवस्थापक उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण (2FA) को सक्षम करने से अनधिकृत पहुंच के जोखिम को काफी कम किया जा सकता है। संभावित कमजोरियों की सक्रिय रूप से पहचान और समाधान करने के लिए नियमित सुरक्षा ऑडिट की भी सिफारिश की जाती है। अतिरिक्त सुरक्षा परत जोड़ने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करें।

सक्रिय इंस्टॉलेशन

30Kज्ञात

प्लगइन रेटिंग