प्लेटफ़ॉर्म
wordpress
घटक
prismatic
में ठीक किया गया
3.7.4
3.7.4
CVE-2026-3876 WordPress के लिए Prismatic प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण वेब स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जो तब निष्पादित होती है जब कोई उपयोगकर्ता इंजेक्टेड पेज तक पहुंचता है। यह भेद्यता Prismatic प्लगइन के संस्करण 3.7.3 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 3.7.4 में अपडेट करके इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को वेबसाइट पर मनमाना जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है। एक सफल शोषण के परिणामस्वरूप, हमलावर उपयोगकर्ता सत्र कुकीज़ चुरा सकते हैं, उपयोगकर्ताओं को फ़िशिंग साइटों पर रीडायरेक्ट कर सकते हैं, या वेबसाइट की सामग्री को बदल सकते हैं। चूंकि भेद्यता संग्रहीत है, इसलिए दुर्भावनापूर्ण स्क्रिप्ट को वेबसाइट पर स्थायी रूप से संग्रहीत किया जा सकता है, जिससे कई उपयोगकर्ताओं को जोखिम होता है जो प्रभावित पृष्ठों को देखते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण किया जा सकता है, जिससे किसी भी अनधिकृत उपयोगकर्ता के लिए वेबसाइट को समझौता करना संभव हो जाता है।
CVE-2026-3876 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं को अक्सर शोषण किया जाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो इस भेद्यता का शोषण करने के लिए हमलावरों को सक्षम करते हैं। इस CVE को CISA KEV सूची में जोड़ा गया है, जो इसकी गंभीरता को दर्शाता है। NVD और CISA ने 2026-04-16 को प्रकाशन की तारीख दर्ज की है।
Websites using the Prismatic WordPress plugin, especially those with public comment sections or forums, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are particularly vulnerable, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'prismatic_encoded' /var/www/html/wp-content/plugins/prismatic/• wordpress / composer / npm:
wp plugin list | grep prismatic• wordpress / composer / npm:
wp plugin update prismatic• generic web: Inspect comment fields for suspicious shortcode usage, particularly those containing encoded characters.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Prismatic प्लगइन को तुरंत संस्करण 3.7.4 में अपडेट करना महत्वपूर्ण है। यदि प्लगइन को तुरंत अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'prismatic_encoded' शॉर्टकोड के उपयोग को ब्लॉक करने पर विचार करें। इसके अतिरिक्त, वेबसाइट के सभी इनपुट फ़ील्ड को ठीक से सैनिटाइज़ और एस्केप करना सुनिश्चित करें ताकि दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन को रोका जा सके। प्लगइन अपडेट के बाद, यह सुनिश्चित करने के लिए वेबसाइट का परीक्षण करें कि भेद्यता का समाधान हो गया है और कोई नई समस्या नहीं आई है।
संस्करण 3.7.4 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-3876 WordPress के लिए Prismatic प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Prismatic प्लगइन के संस्करण 3.7.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Prismatic प्लगइन को संस्करण 3.7.4 में अपडेट करें।
CVE-2026-3876 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं को अक्सर शोषण किया जाता है।
कृपया WordPress प्लगइन निर्देशिका में आधिकारिक सलाहकार देखें: [https://wordpress.org/plugins/prismatic/](https://wordpress.org/plugins/prismatic/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।