प्लेटफ़ॉर्म
wordpress
घटक
download-monitor
में ठीक किया गया
5.1.8
CVE-2026-3124, वर्डप्रेस के लिए Download Monitor प्लगइन में एक असुरक्षित प्रत्यक्ष वस्तु संदर्भ (IDOR) भेद्यता है। यह भेद्यता हमलावरों को मनमाने ढंग से लंबित आदेशों को पूरा करने की अनुमति देती है, जिससे भुगतान किए गए डिजिटल सामान की चोरी हो सकती है। यह भेद्यता 5.1.7 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 5.1.8 में इस समस्या को ठीक कर दिया गया है।
डाउनलोड मॉनिटर प्लगइन में CVE-2026-3124 भेद्यता के कारण, एक अनधिकृत हमलावर PayPal लेनदेन टोकन और स्थानीय ऑर्डर के बीच विसंगति का फायदा उठाकर, बिना प्रमाणीकरण के लंबित ऑर्डर को पूरा कर सकता है। यह हमलावर को कम लागत वाली वस्तु के लिए न्यूनतम राशि का भुगतान करके और फिर उस भुगतान टोकन का उपयोग करके उच्च-मूल्य वाले ऑर्डर को अंतिम रूप देने की अनुमति देता है। इसका परिणाम डिजिटल सामान की चोरी हो सकता है, क्योंकि हमलावर प्रभावी रूप से अधिक महंगे उत्पादों तक पहुंच प्राप्त कर सकता है। उदाहरण के लिए, एक हमलावर 100 रुपये की ईबुक खरीद सकता है और फिर उस भुगतान टोकन का उपयोग 5000 रुपये की सॉफ्टवेयर पैकेज को पूरा करने के लिए कर सकता है। इस भेद्यता का 'ब्लास्ट रेडियस' उन सभी वेबसाइटों तक फैला हुआ है जो डाउनलोड मॉनिटर प्लगइन का उपयोग करती हैं और PayPal के माध्यम से भुगतान स्वीकार करती हैं, जिससे डिजिटल उत्पादों के विक्रेताओं के लिए महत्वपूर्ण वित्तीय और प्रतिष्ठा जोखिम पैदा होता है। हमलावर ऑर्डर डेटाबेस तक सीधी पहुंच प्राप्त किए बिना, भुगतान प्रक्रिया में हेरफेर करके, संवेदनशील डिजिटल सामग्री तक पहुंच प्राप्त कर सकते हैं।
वर्तमान में, CVE-2026-3124 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं है (KEV)। इसका मतलब है कि इस भेद्यता का अभी तक व्यापक रूप से शोषण नहीं किया गया है। हालांकि, भेद्यता की गंभीरता (CVSS स्कोर 7.5 - HIGH) इंगित करती है कि इसका शोषण किया जा सकता है यदि हमलावरों को भेद्यता का पता चलता है और वे इसका फायदा उठाने के लिए एक तरीका ढूंढते हैं। चूंकि भेद्यता PayPal लेनदेन टोकन पर निर्भर करती है, इसलिए इसका शोषण करने के लिए हमलावरों को एक वैध PayPal खाते तक पहुंच की आवश्यकता हो सकती है। इस भेद्यता को कम करने के लिए, वेबसाइट मालिकों को तुरंत प्लगइन को अपडेट करना चाहिए, भले ही कोई सार्वजनिक शोषण उपलब्ध न हो।
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-3124 को ठीक करने के लिए, डाउनलोड मॉनिटर प्लगइन को संस्करण 5.1.8 या उच्चतर में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, PayPal भुगतान प्रक्रिया में अतिरिक्त सुरक्षा जांच लागू करने पर विचार करें, जैसे कि ऑर्डर राशि और टोकन की वैधता को क्रॉस-चेक करना। हालांकि, यह ध्यान रखना महत्वपूर्ण है कि यह कार्यप्रणाली भेद्यता के खिलाफ पूर्ण सुरक्षा प्रदान नहीं कर सकती है और इसे जल्द से जल्द अपग्रेड करने के लिए एक अस्थायी उपाय के रूप में माना जाना चाहिए। अपग्रेड करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता सफलतापूर्वक ठीक हो गई है, भुगतान प्रक्रिया का परीक्षण करें और पुष्टि करें कि अनधिकृत ऑर्डर पूरा नहीं किए जा सकते हैं। परीक्षण में कम लागत वाली वस्तु खरीदना और फिर उच्च-मूल्य वाले ऑर्डर को पूरा करने के लिए भुगतान टोकन का उपयोग करने का प्रयास करना शामिल होना चाहिए।
संस्करण 5.1.8 या नए पैच किए गए संस्करण में अपडेट करें
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-3124 डाउनलोड मॉनिटर प्लगइन में एक असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ (Insecure Direct Object Reference) भेद्यता है जो हमलावरों को बिना प्रमाणीकरण के लंबित ऑर्डर को पूरा करने की अनुमति देती है।
यदि आप डाउनलोड मॉनिटर प्लगइन के संस्करण 5.1.7 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-3124 को ठीक करने के लिए, डाउनलोड मॉनिटर प्लगइन को संस्करण 5.1.8 या उच्चतर में अपग्रेड करें।
वर्तमान में, CVE-2026-3124 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं है।
अधिक जानकारी के लिए, कृपया NVD प्रविष्टि पर जाएँ: https://nvd.nist.gov/vuln/detail/CVE-2026-3124
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।