प्लेटफ़ॉर्म
wordpress
घटक
bookly-responsive-appointment-booking-tool
में ठीक किया गया
26.7.1
Bookly रिस्पॉन्सिव अपॉइंटमेंट बुकिंग टूल में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है, जो हमलावरों को वेब पेज उत्पन्न करते समय इनपुट को ठीक से निष्क्रिय करने में विफलता का फायदा उठाने की अनुमति देती है। यह भेद्यता दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से उपयोगकर्ता डेटा से समझौता हो सकता है या अन्य दुर्भावनापूर्ण कार्य किए जा सकते हैं। यह भेद्यता Bookly के संस्करण n/a से लेकर 26.7 तक के संस्करणों को प्रभावित करती है। संस्करण 26.8 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को बुकली वेबसाइट पर उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है। एक सफल शोषण से हमलावर संवेदनशील जानकारी चुरा सकता है, जैसे कि उपयोगकर्ता क्रेडेंशियल या व्यक्तिगत डेटा। वे उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट भी कर सकते हैं या उपयोगकर्ता के ब्राउज़र में अन्य दुर्भावनापूर्ण क्रियाएं कर सकते हैं। चूंकि बुकली एक अपॉइंटमेंट बुकिंग टूल है, इसलिए इस भेद्यता का उपयोग अपॉइंटमेंट शेड्यूल करने या रद्द करने के लिए भी किया जा सकता है, जिससे व्यवसाय संचालन बाधित हो सकता है। यह भेद्यता अन्य XSS भेद्यताओं के समान है, जहां हमलावर उपयोगकर्ता इनपुट को नियंत्रित करने के लिए कमजोर इनपुट सत्यापन का फायदा उठाते हैं।
CVE-2026-32540 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर अभी तक निर्धारित नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं देखा गया है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण के आधार पर इसका शोषण किया जा सकता है। यह CVE 2026-03-25 को प्रकाशित किया गया था।
Websites using the Bookly plugin for appointment scheduling, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/bookly-responsive-appointment-booking-tool/*• generic web:
curl -I https://your-website.com/bookly/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep booklydisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CVSS वेक्टर
CVE-2026-32540 को कम करने के लिए, बुकली को तुरंत संस्करण 26.8 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू किया जा सकता है जो XSS हमलों को फ़िल्टर करता है। इसके अतिरिक्त, इनपुट सत्यापन को मजबूत करने और आउटपुट एन्कोडिंग का उपयोग करके बुकली के कोडबेस में सुरक्षा ऑडिट करना आवश्यक है। बुकली के कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि सभी सुरक्षा सेटिंग्स सक्षम हैं। अपडेट करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, बुकली वेबसाइट पर विभिन्न इनपुट फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने का प्रयास करके।
संस्करण 26.8 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32540 Bookly रिस्पॉन्सिव अपॉइंटमेंट बुकिंग टूल में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Bookly के संस्करण n/a से 26.7 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Bookly को तुरंत संस्करण 26.8 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF लागू करें और इनपुट सत्यापन को मजबूत करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण के आधार पर इसका शोषण किया जा सकता है।
कृपया Bookly वेबसाइट पर आधिकारिक सलाहकार देखें: [Bookly वेबसाइट लिंक]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।