प्लेटफ़ॉर्म
wordpress
घटक
otm-accessibly
में ठीक किया गया
3.0.4
3.0.4
Accessibly वर्डप्रेस प्लगइन में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता हमलावरों को REST API के माध्यम से दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी चोरी हो सकती है या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट किया जा सकता है। यह भेद्यता संस्करण 3.0.3 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह XSS भेद्यता हमलावरों को वर्डप्रेस साइट पर व्यवस्थापकों और उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। हमलावर कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी प्राप्त कर सकते हैं, या उपयोगकर्ताओं को फ़िशिंग वेबसाइटों पर रीडायरेक्ट कर सकते हैं। चूंकि REST API एंडपॉइंट्स बिना किसी प्रमाणीकरण के खुले हैं, इसलिए हमलावर आसानी से स्क्रिप्ट इंजेक्ट कर सकते हैं। यह भेद्यता साइट की सुरक्षा और अखंडता के लिए गंभीर खतरा पैदा करती है, खासकर यदि साइट पर संवेदनशील डेटा संग्रहीत है या महत्वपूर्ण लेनदेन संसाधित किए जाते हैं।
यह भेद्यता 2026-04-14 को सार्वजनिक रूप से उजागर की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान हो जाता है।
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (26% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Accessibly प्लगइन को तुरंत संस्करण 3.0.4 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को ब्लॉक कर सके। इसके अतिरिक्त, REST API एंडपॉइंट्स को एक्सेस करने के लिए प्रमाणीकरण लागू करने पर विचार करें। यह सुनिश्चित करें कि सभी प्लगइन और थीम नवीनतम संस्करण में अपडेट किए गए हैं। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं।
कोई ज्ञात पैच (patch) उपलब्ध नहीं है। कृपया अपने संगठन के जोखिम सहनशीलता के आधार पर भेद्यता (vulnerability) के विवरण की गहराई से समीक्षा करें और शमन (mitigations) को लागू करें। प्रभावित सॉफ़्टवेयर (software) को अनइंस्टॉल (uninstall) करना और प्रतिस्थापन (replacement) खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-3643 Accessibly वर्डप्रेस प्लगइन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को REST API के माध्यम से दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Accessibly प्लगइन के संस्करण 3.0.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Accessibly प्लगइन को संस्करण 3.0.4 या बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
Accessibly प्लगइन के लिए आधिकारिक एडवाइजरी Accessibly वेबसाइट पर उपलब्ध है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।