प्लेटफ़ॉर्म
wordpress
घटक
media-library-assistant
में ठीक किया गया
3.34.1
3.35
CVE-2026-34897 describes a Stored Cross-Site Scripting (XSS) vulnerability discovered in the Media Library Assistant plugin. This flaw allows an attacker to inject malicious scripts that are then stored and executed when other users access affected pages, potentially leading to account takeover or other malicious actions. The vulnerability impacts Media Library Assistant versions from n/a up to and including 3.34. As of the publication date, no official patch has been released to address this issue.
WordPress के Media Library Assistant प्लगइन में CVE-2026-34897 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। योगदानकर्ता-स्तर के या उससे ऊपर के एक्सेस वाले प्रमाणित हमलावर WordPress पृष्ठों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकते हैं। जब भी कोई उपयोगकर्ता प्रभावित पृष्ठ तक पहुंचता है, तो यह कोड निष्पादित होगा, जिससे हमलावर कुकीज़ चुरा सकता है, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है या पृष्ठ सामग्री को संशोधित कर सकता है। CVSS गंभीरता रेटिंग 6.4 है, जो मध्यम जोखिम को इंगित करती है। इनपुट सैनिटाइजेशन की अपर्याप्तता और आउटपुट एस्केपिंग की कमी इस भेद्यता के मुख्य कारण हैं। बड़ी संख्या में उपयोगकर्ताओं और गतिशील सामग्री वाली साइटों के लिए संभावित प्रभाव महत्वपूर्ण है।
Media Library Assistant का उपयोग करने वाली WordPress साइट पर योगदानकर्ता या उससे ऊपर के एक्सेस वाले एक हमलावर इस भेद्यता का फायदा उठा सकते हैं (संस्करण 3.34 तक)। हमलावर प्लगइन में एक इनपुट के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है, जैसे कि छवि में मेटाडेटा जोड़ना या प्लगइन सेटिंग्स को संशोधित करना। कोड इंजेक्ट होने के बाद, यह डेटाबेस में संग्रहीत हो जाएगा और जब भी कोई उपयोगकर्ता प्रभावित पृष्ठ तक पहुंचता है, तो यह निष्पादित होगा। शोषण के लिए प्रमाणीकरण की आवश्यकता होती है, लेकिन उन्नत तकनीकी कौशल की आवश्यकता नहीं होती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी समाधान Media Library Assistant प्लगइन को संस्करण 3.35 या उससे ऊपर के संस्करण में अपडेट करना है। इस संस्करण में XSS भेद्यता को कम करने के लिए आवश्यक फिक्स शामिल हैं। यदि तत्काल अपडेट संभव नहीं है, तो अतिरिक्त सुरक्षा उपायों को लागू करने पर विचार करें, जैसे कि सीमित विशेषाधिकार वाले उपयोगकर्ताओं को प्लगइन कार्यक्षमता तक पहुंच को प्रतिबंधित करना और XSS हमलों का पता लगाने और रोकने में सक्षम WordPress सुरक्षा प्लगइन का उपयोग करना। WordPress पृष्ठों को नियमित रूप से संदिग्ध सामग्री के लिए जांचना भी महत्वपूर्ण है। हमले के सफल होने की स्थिति में साइट को पुनर्स्थापित करने में सक्षम होने के लिए नियमित रूप से वेबसाइट का बैकअप लेना एक अनुशंसित अभ्यास है।
Update to version 3.35, or a newer patched version
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को वैध वेबसाइटों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इन स्क्रिप्टों को उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाता है, जिससे हमलावर को संवेदनशील जानकारी चुराने या उपयोगकर्ता की ओर से कार्रवाई करने की अनुमति मिल सकती है।
यदि आप Media Library Assistant का 3.35 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अपनी साइट के पृष्ठों को अप्रत्याशित सामग्री या असामान्य व्यवहार के लिए जांचें।
साइट तक पहुंच रखने वाले सभी उपयोगकर्ताओं के पासवर्ड तुरंत बदल दें। साइट का बैकअप लें और एक साफ बैकअप से पुनर्स्थापित करें। साइट का व्यापक ऑडिट करने के लिए सुरक्षा पेशेवर से परामर्श लें।
ऐसे कई भेद्यता स्कैनिंग उपकरण हैं जो आपको XSS का पता लगाने में मदद कर सकते हैं, जिनमें मुफ्त और सशुल्क उपकरण शामिल हैं। कुछ WordPress सुरक्षा प्लगइन में XSS डिटेक्शन क्षमताएं भी शामिल हैं।
WordPress में, 'योगदानकर्ता' भूमिका वाला उपयोगकर्ता पोस्ट जोड़ने और संपादित करने की अनुमति रखता है, लेकिन वह सामान्य तौर पर साइट का प्रबंधन नहीं कर सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।