प्लेटफ़ॉर्म
wordpress
घटक
contact-manager
में ठीक किया गया
9.1.1
Kleor Contact Manager में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता हमलावरों को वेब पेज उत्पन्न करते समय इनपुट को ठीक से निष्क्रिय करने में विफलता का फायदा उठाकर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। यह भेद्यता Kleor Contact Manager के संस्करण n/a से 9.1 तक के संस्करणों को प्रभावित करती है। संस्करण 9.1.1 में इस समस्या का समाधान किया गया है।
इस XSS भेद्यता का फायदा उठाकर, एक हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह हमलावर को उपयोगकर्ता के सत्र कुकीज़ चुराने, उपयोगकर्ता को फ़िशिंग वेबसाइटों पर रीडायरेक्ट करने या उपयोगकर्ता के ब्राउज़र के माध्यम से अन्य दुर्भावनापूर्ण क्रियाएं करने की अनुमति दे सकता है। प्रभावित वेबसाइट पर आने वाले किसी भी उपयोगकर्ता के लिए यह एक गंभीर जोखिम है, क्योंकि हमलावर उपयोगकर्ता की जानकारी तक पहुंच प्राप्त कर सकता है या उपयोगकर्ता के खाते को नियंत्रित कर सकता है। इस तरह की भेद्यता का उपयोग संवेदनशील डेटा को उजागर करने या सिस्टम को समझौता करने के लिए किया जा सकता है, जिससे संभावित रूप से महत्वपूर्ण वित्तीय और प्रतिष्ठा संबंधी नुकसान हो सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका फायदा उठाया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बनाते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। NVD में प्रकाशन की तारीख 2026-03-25 है।
Websites using the Kleor Contact Manager plugin, particularly those running older versions (prior to 9.1.1), are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "contact-manager" /var/www/html/wp-content/plugins/
wp plugin list | grep contact-manager• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Kleor Contact Manager को तुरंत संस्करण 9.1.1 में अपडेट करने की सिफारिश की जाती है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके इनपुट को मान्य और सैनिटाइज़ करने का प्रयास करें। इसके अतिरिक्त, सभी उपयोगकर्ता इनपुट को ठीक से एन्कोड करना सुनिश्चित करें और किसी भी अविश्वसनीय स्रोत से आने वाले डेटा को संसाधित करते समय सावधानी बरतें। अस्थायी रूप से, आप इनपुट फ़ील्ड्स में उपयोगकर्ता इनपुट को सीमित करने के लिए कॉन्फ़िगरेशन विकल्पों का उपयोग कर सकते हैं, लेकिन यह एक पूर्ण समाधान नहीं है।
संस्करण 9.1.1 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32517 Kleor Contact Manager में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Kleor Contact Manager के संस्करण n/a से 9.1 तक चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Kleor Contact Manager को तुरंत संस्करण 9.1.1 में अपडेट करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका फायदा उठाया जा सकता है।
कृपया Kleor Contact Manager की वेबसाइट पर जाएं या उनके सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।