प्लेटफ़ॉर्म
wordpress
घटक
woo-abandoned-cart-recovery
में ठीक किया गया
1.1.11
Abandoned Cart Recovery for WooCommerce में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या वेबसाइट का नियंत्रण हमलावर के हाथ में आ सकता है। यह भेद्यता Abandoned Cart Recovery for WooCommerce के n/a से लेकर 1.1.10 तक के संस्करणों को प्रभावित करती है। 1.1.11 संस्करण में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को वेबसाइट के उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है। हमलावर उपयोगकर्ता के कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी प्राप्त कर सकते हैं, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। इसके अतिरिक्त, हमलावर वेबसाइट की सामग्री को बदल सकते हैं या उपयोगकर्ताओं को फ़िशिंग हमलों के लिए धोखा दे सकते हैं। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने और उपयोगकर्ता डेटा को खतरे में डालने के लिए किया जा सकता है। यह भेद्यता WordPress वेबसाइटों के लिए एक गंभीर खतरा है जो Abandoned Cart Recovery for WooCommerce प्लगइन का उपयोग करती हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बना सकते हैं। यह भेद्यता 2026-03-25 को प्रकाशित की गई थी। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं की गई है।
WooCommerce store owners using the Abandoned Cart Recovery for WooCommerce plugin, particularly those running older versions (prior to 1.1.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "villaTheme Abandoned Cart Recovery" /var/www/html/wp-content/plugins/
wp plugin list | grep abandoned-cart-recovery• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=abandoned_cart_recovery_save_data | grep -i content-security-policydisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Abandoned Cart Recovery for WooCommerce को तुरंत 1.1.11 या उसके बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक करने का प्रयास करें। WAF को उन विशिष्ट स्क्रिप्ट को ब्लॉक करने के लिए कॉन्फ़िगर करें जो इस भेद्यता का फायदा उठा सकती हैं। इसके अतिरिक्त, वेबसाइट के इनपुट फ़ील्ड को सैनिटाइज़ करने और आउटपुट को एस्केप करने के लिए अतिरिक्त सुरक्षा उपाय लागू करें। इन उपायों को लागू करके, आप इस भेद्यता के जोखिम को काफी कम कर सकते हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, वेबसाइट की कार्यक्षमता का परीक्षण करें।
संस्करण 1.1.11 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32526 Abandoned Cart Recovery for WooCommerce में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Abandoned Cart Recovery for WooCommerce के संस्करण n/a से लेकर 1.1.10 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Abandoned Cart Recovery for WooCommerce को 1.1.11 या उसके बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं की गई है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं।
कृपया VillaTheme की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।