CVE-2026-3191: CSRF in Minify HTML WordPress Plugin

CSRF भेद्यता का फायदा उठाकर, एक हमलावर एक दुर्भावनापूर्ण वेबसाइट बना सकता है जो एक वैध उपयोगकर्ता के रूप में Minify HTML प्लगइन के साथ इंटरैक्ट करने के लिए उन्हें धोखा देता है। यदि कोई साइट प्रशासक इस दुर्भावनापूर्ण वेबसाइट पर जाता है, तो हमलावर प्लगइन की सेटिंग्स को बदल सकता है, जैसे कि मिनीफिकेशन विकल्पों को संशोधित करना या अन्य कॉन्फ़िगरेशन बदलना। इससे वेबसाइट की कार्यक्षमता प्रभावित हो सकती है या सुरक्षा जोखिम पैदा हो सकते हैं। हमलावर प्लगइन के माध्यम से संवेदनशील जानकारी तक भी पहुंच प्राप्त कर सकता है, यदि प्लगइन में ऐसी जानकारी संग्रहीत करने की क्षमता है।

WordPress websites utilizing the Minify HTML plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't applied the update.

• wordpress / composer / npm:

grep -r 'minify_html_menu_options' /var/www/html/wp-content/plugins/minify-html/includes/

• wordpress / composer / npm:

wp plugin list | grep minify-html

• wordpress / composer / npm:

wp plugin update minify-html

1. 2026-03-31Disclosure

   disclosure

1. आरक्षित2026-02-25
2. प्रकाशित2026-03-31
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-07

CVE-2026-3191 को कम करने के लिए, सबसे महत्वपूर्ण कदम प्लगइन को संस्करण 2.1.13 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए किया जा सकता है। WAF को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें सही nonce सत्यापन नहीं है। इसके अतिरिक्त, साइट प्रशासकों को संदिग्ध लिंक पर क्लिक करने से बचना चाहिए और हमेशा यह सुनिश्चित करना चाहिए कि वे सुरक्षित वेबसाइटों पर हैं।

सक्रिय इंस्टॉलेशन

10Kज्ञात

प्लगइन रेटिंग