प्लेटफ़ॉर्म
php
घटक
my-calendar
में ठीक किया गया
3.7.8
3.7.7
CVE-2026-40308 My Calendar प्लगइन में एक गंभीर भेद्यता है जो अनधिकृत उपयोगकर्ताओं को संवेदनशील जानकारी तक पहुंचने या सेवा से इनकार (Denial of Service) करने की अनुमति देती है। यह भेद्यता mcajaxmcjs_action AJAX फ़ंक्शन में एक असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ (IDOR) के कारण होती है, जिससे हमलावर किसी भी सब-साइट से कैलेंडर इवेंट्स निकाल सकते हैं, जिसमें निजी या छिपे हुए इवेंट्स भी शामिल हैं। सिंगल साइट WordPress इंस्टॉलेशन में, यह एंडपॉइंट PHP वर्कर थ्रेड को क्रैश करके DoS का कारण बनता है। यह भेद्यता WordPress Multisite नेटवर्क और सिंगल साइट इंस्टॉलेशन दोनों को प्रभावित करती है, और संस्करण 3.7.7 में इसका समाधान किया गया है।
CVE-2026-40308 My Calendar प्लगइन में एक गंभीर भेद्यता है, जो विशेष रूप से WordPress मल्टीसाइट वातावरण में वेबसाइटों के लिए जोखिम पैदा करती है। यह अनधिकृत हमलावरों को मल्टीसाइट नेटवर्क के भीतर किसी भी सबडोमेन पर निजी या छिपी हुई कैलेंडर घटनाओं तक पहुंचने की अनुमति देता है, जिससे डेटा की गोपनीयता से समझौता होता है। सिंगल-साइट WordPress इंस्टॉलेशन में, इस भेद्यता का फायदा उठाने से PHP वर्कर थ्रेड क्रैश हो सकता है, जिसके परिणामस्वरूप वेबसाइट की उपलब्धता में बाधा डालने वाला डिनायल-ऑफ़-सर्विस (DoS) हमला हो सकता है।
एक हमलावर mc_ajax एंडपॉइंट पर सावधानीपूर्वक तैयार किए गए HTTP अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। अनुरोध मापदंडों में हेरफेर करके, हमलावर एक्सेस नियंत्रण को बायपास कर सकता है और आमतौर पर संरक्षित कैलेंडर जानकारी प्राप्त कर सकता है। सिंगल-साइट इंस्टॉलेशन में, एक दुर्भावनापूर्ण अनुरोध PHP वर्कर थ्रेड को ओवरलोड कर सकता है, जिससे क्रैश और डिनायल-ऑफ़-सर्विस हो सकता है। भेद्यता का फायदा उठाने के लिए प्रमाणीकरण की आवश्यकता की कमी इसे विशेष रूप से खतरनाक बनाती है।
एक्सप्लॉइट स्थिति
EPSS
2.23% (85% शतमक)
CISA SSVC
अनुशंसित समाधान My Calendar प्लगइन को तुरंत संस्करण 3.7.7 या उच्चतर में अपडेट करना है। इस संस्करण में IDOR और DoS कमजोरियों को संबोधित करने के लिए एक फिक्स शामिल है। इसके अतिरिक्त, अपनी वेबसाइट की सुरक्षा नीतियों की समीक्षा और मजबूत करना, जिसमें मजबूत प्रमाणीकरण को लागू करना और संवेदनशील संसाधनों तक पहुंच को सीमित करना शामिल है। संभावित हमलों का पता लगाने और उनका जवाब देने के लिए संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करना भी महत्वपूर्ण है।
Actualice el plugin My Calendar a la versión 3.7.7 o superior para mitigar la vulnerabilidad de divulgación de información no autenticada. Esta actualización corrige la forma en que se manejan los argumentos de entrada, previniendo la extracción de eventos de calendario de otros sitios en una instalación de WordPress Multisite.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
IDOR (असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ) तब होता है जब एक वेब एप्लिकेशन उपयोगकर्ता को उचित प्राधिकरण जांच के बिना, अनुमानित या हेरफेर करने योग्य पहचानकर्ता का उपयोग करके आंतरिक वस्तुओं तक पहुंचने की अनुमति देता है।
DoS का मतलब डिनायल ऑफ सर्विस है। यह एक हमला है जो आमतौर पर ट्रैफ़िक या अनुरोधों से सिस्टम को ओवरलोड करके, वैध उपयोगकर्ताओं के लिए ऑनलाइन सेवा को अनुपलब्ध बनाने का प्रयास करता है।
यदि तत्काल अपडेट संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके कमजोर एंडपॉइंट तक पहुंच को प्रतिबंधित करने जैसे अस्थायी शमन उपायों को लागू करने पर विचार करें।
अपनी वेबसाइट पर My Calendar प्लगइन के संस्करण की जांच करें। यदि आप 3.7.7 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप कमजोर हैं।
ऐसे WordPress भेद्यता स्कैनर हैं जो इस भेद्यता का पता लगा सकते हैं। अधिक जानकारी के लिए अपने सुरक्षा प्रदाता के दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।