प्लेटफ़ॉर्म
wordpress
घटक
gravityforms
में ठीक किया गया
2.9.29
Gravity Forms WordPress प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से स्क्रिप्ट चलाने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या उपयोगकर्ता के खाते पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता Gravity Forms के संस्करण 0.0.0 से 2.9.28.1 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, प्लगइन को संस्करण 2.9.29 में अपग्रेड करें।
यह XSS भेद्यता हमलावरों को किसी भी प्रमाणित उपयोगकर्ता के रूप में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, खासकर फॉर्म स्विचर्स में। हमलावर फॉर्म शीर्षक में स्क्रिप्ट इंजेक्ट कर सकते हैं, जो तब अन्य उपयोगकर्ताओं द्वारा देखे जाने पर निष्पादित हो सकती है। इससे उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण कोड चल सकता है, जिससे कुकीज़ चोरी हो सकती हैं, सत्र हाईजैक हो सकते हैं, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट किया जा सकता है। चूंकि यह भेद्यता संग्रहीत है, इसलिए हमलावर स्क्रिप्ट को फॉर्म में इंजेक्ट कर सकते हैं, और यह तब भी सक्रिय रहेगा जब तक कि फॉर्म को ठीक से सैनिटाइज नहीं किया जाता।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन मध्यम गंभीरता को देखते हुए, सक्रिय शोषण की संभावना मध्यम है। NVD ने 2026-03-11 को इस भेद्यता को प्रकाशित किया।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Gravity Forms प्लगइन को तुरंत संस्करण 2.9.29 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके createfromtemplate एंडपॉइंट पर इनपुट को सैनिटाइज करने का प्रयास करें। सुनिश्चित करें कि सभी फॉर्म शीर्षक और अन्य उपयोगकर्ता-प्रदत्त इनपुट को आउटपुट से पहले ठीक से एस्केप किया गया है। WordPress के नवीनतम संस्करण में अपग्रेड करने पर विचार करें, क्योंकि इसमें सुरक्षा सुधार शामिल हो सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फॉर्म स्विचर्स में स्क्रिप्ट इंजेक्शन का प्रयास करके सत्यापित करें।
संस्करण 2.9.29 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-3492 Gravity Forms WordPress प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को अनधिकृत रूप से स्क्रिप्ट चलाने की अनुमति देती है।
यदि आप Gravity Forms WordPress प्लगइन के संस्करण 0.0.0 से 2.9.28.1 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Gravity Forms प्लगइन को संस्करण 2.9.29 में अपग्रेड करें।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक PoC मौजूद हो सकते हैं, इसलिए सक्रिय शोषण की संभावना मध्यम है।
आप Gravity Forms वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [https://gravityforms.com/alerts/gravity-forms-xss-vulnerability/](https://gravityforms.com/alerts/gravity-forms-xss-vulnerability/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।