प्लेटफ़ॉर्म
wordpress
घटक
media-library-assistant
में ठीक किया गया
3.34.1
3.35
CVE-2026-34885 describes a SQL Injection vulnerability found in Media Library Assistant. This flaw allows attackers to inject malicious SQL code into database queries, potentially gaining unauthorized access to sensitive data or manipulating the application's functionality. The vulnerability affects Media Library Assistant versions from n/a up to and including 3.34. No official patch is currently available.
WordPress के Media Library Assistant प्लगइन में CVE-2026-34885 भेद्यता एक महत्वपूर्ण सुरक्षा जोखिम पैदा करती है। यह एक SQL इंजेक्शन भेद्यता है, जो प्रमाणित हमलावरों (योगदानकर्ता-स्तर के पहुंच या उससे अधिक वाले) को मौजूदा प्रश्नों में अतिरिक्त SQL प्रश्नों को जोड़ने की अनुमति देती है, जिससे डेटाबेस से संवेदनशील जानकारी निकालने की संभावना होती है। उपयोगकर्ता द्वारा प्रदान किए गए मापदंडों के उचित एस्केप करने की कमी और मौजूदा SQL प्रश्नों की अपर्याप्त तैयारी से यह दुर्भावनापूर्ण कोड इंजेक्शन संभव हो पाता है। संभावित प्रभाव में उपयोगकर्ता डेटा, वेबसाइट कॉन्फ़िगरेशन जानकारी का खुलासा और, सबसे खराब स्थिति में, वेबसाइट पर पूर्ण नियंत्रण शामिल है। CVSS स्कोर 6.5 होने का मतलब है कि जोखिम मध्यम है, लेकिन अनधिकृत डेटाबेस एक्सेस की संभावना को तत्काल ध्यान देने की आवश्यकता है।
Media Library Assistant के कमजोर संस्करण का उपयोग करने वाली WordPress साइट पर योगदानकर्ता-स्तर या उससे अधिक पहुंच वाले एक हमलावर इस भेद्यता का फायदा उठा सकते हैं। हमलावर अप्रमाणित इनपुट पैरामीटर के माध्यम से दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है। इस इंजेक्ट किए गए कोड को मूल SQL क्वेरी के साथ निष्पादित किया जाएगा, जिससे हमलावर को डेटाबेस में डेटा तक पहुंचने या संशोधित करने की अनुमति मिलेगी। शोषण के लिए प्रमाणीकरण की आवश्यकता होती है, जो हमले के दायरे को साइट के भीतर विशेषाधिकार प्राप्त उपयोगकर्ताओं तक सीमित करता है। हालाँकि, एक योगदानकर्ता भी महत्वपूर्ण नुकसान पहुंचा सकता है यदि उनके पास संवेदनशील जानकारी तक पहुंच है या वे वेबसाइट कॉन्फ़िगरेशन को संशोधित कर सकते हैं।
एक्सप्लॉइट स्थिति
EPSS
5.71% (90% शतमक)
CISA SSVC
CVSS वेक्टर
इस जोखिम को कम करने का सबसे प्रभावी तरीका Media Library Assistant प्लगइन को संस्करण 3.35 या उससे ऊपर के संस्करण में अपडेट करना है। इस संस्करण में SQL इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। यदि तत्काल अपडेट संभव नहीं है, तो अतिरिक्त सुरक्षा उपाय लागू करने पर विचार करें, जैसे डेटाबेस एक्सेस को प्रतिबंधित करना, मजबूत पासवर्ड का उपयोग करना और WordPress और अन्य प्लगइन्स को अपडेट रखना। संभावित कमजोरियों की पहचान करने और उनका समाधान करने में नियमित सुरक्षा ऑडिट भी मदद कर सकते हैं। किसी भी शोषण के प्रयास का संकेत देने वाली संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करना महत्वपूर्ण है। इस भेद्यता के खिलाफ सबसे अच्छा बचाव समय पर अपडेट है।
Update to version 3.35, or a newer patched version
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक प्रकार का हमला है जिसमें एक हमलावर डेटाबेस में डेटा तक पहुंचने या हेरफेर करने के लिए SQL क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करता है।
WordPress में, 'योगदानकर्ता' स्तर की पहुंच उपयोगकर्ताओं को पोस्ट बनाने और संपादित करने की अनुमति देती है, लेकिन उन्हें प्रकाशित करने की नहीं। हालाँकि, इस भेद्यता के साथ, एक योगदानकर्ता भी संवेदनशील जानकारी तक पहुंच सकता है।
Media Library Assistant प्लगइन के संस्करण की जांच करें। यदि यह 3.35 से पुराना है, तो आपकी वेबसाइट कमजोर है। आप तृतीय-पक्ष भेद्यता स्कैनिंग टूल का भी उपयोग कर सकते हैं।
तुरंत सभी विशेषाधिकार प्राप्त उपयोगकर्ताओं के पासवर्ड बदलें। एक व्यापक सुरक्षा ऑडिट करें और अपनी वेबसाइट को एक साफ बैकअप से पुनर्स्थापित करें।
कई WordPress सुरक्षा प्लगइन हैं जो SQL इंजेक्शन को रोकने में मदद कर सकते हैं, साथ ही वेब एप्लिकेशन फ़ायरवॉल (WAF) भी हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।