वर्डप्रेस के लिए 'फॉर्म मेकर बाय 10Web' प्लगइन 'ip_search', 'startdate', 'enddate', 'username_search', और 'useremail_search' पैरामीटर के माध्यम से SQL Injection (SQL Injection) के प्रति संवेदनशील है, सभी संस्करणों में 1.15.40 सहित। यह `WDW_FM_Library::validate_data()` विधि द्वारा उपयोगकर्ता इनपुट पर `stripslashes()` को कॉल करने (WordPress के `wp_magic_quotes()` सुरक्षा को हटाना) और `FMModelSubmissions_fm::get_labels_parameters()` फ़ंक्शन द्वारा उपयोगकर्ता-प्रदत्त मानों को सीधे SQL क्वेरी में जोड़ने के कारण है।

यह SQL Injection भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने की अनुमति देती है, जिसमें उपयोगकर्ता नाम, पासवर्ड, ईमेल पते और अन्य व्यक्तिगत जानकारी शामिल हो सकती है। हमलावर डेटाबेस को संशोधित या हटा भी सकते हैं, जिससे वेबसाइट की कार्यक्षमता बाधित हो सकती है। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले वेबसाइट पर प्रमाणित होना होगा। फिर वे प्लगइन के 'ipsearch', 'startdate', 'enddate', 'usernamesearch', और 'useremail_search' मापदंडों में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकते हैं। यह कोड डेटाबेस क्वेरी को संशोधित करेगा, जिससे हमलावर को डेटाबेस से जानकारी निकालने या डेटाबेस को बदलने की अनुमति मिलेगी। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां इनपुट सत्यापन की कमी के कारण हमलावर मनमाना SQL कोड निष्पादित कर सकते हैं।

1. आरक्षित2026-02-27
2. प्रकाशित2026-04-17
3. संशोधित2026-04-22
4. EPSS अद्यतन2026-04-24

CVE-2026-3330 को कम करने के लिए, Form Maker by 10Web प्लगइन को संस्करण 1.15.41 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो SQL Injection हमलों को ब्लॉक करता है। आप प्लगइन की कॉन्फ़िगरेशन फ़ाइलों में इनपुट सत्यापन को भी मजबूत कर सकते हैं, लेकिन यह एक जटिल प्रक्रिया हो सकती है और गलत तरीके से लागू होने पर समस्याएं पैदा कर सकती है। प्लगइन के नवीनतम संस्करण में अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक किया गया है, प्लगइन के सभी प्रासंगिक कार्यों का परीक्षण करें।

सक्रिय इंस्टॉलेशन

30Kलोकप्रिय

प्लगइन रेटिंग