प्लेटफ़ॉर्म
wordpress
घटक
dx-unanswered-comments
में ठीक किया गया
1.7.1
1.7.1
DX Unanswered Comments WordPress प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। इस भेद्यता के कारण, अनधिकृत हमलावर साइट प्रशासकों को धोखा देकर प्लगइन की सेटिंग्स (dxucauthorslist और dxuccommentcount) को बदल सकते हैं। यह भेद्यता WordPress के DX Unanswered Comments प्लगइन के संस्करण 1.7 और उससे पहले के संस्करणों को प्रभावित करती है। प्लगइन को नवीनतम संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह CSRF भेद्यता हमलावरों को साइट प्रशासक के विशेषाधिकारों का दुरुपयोग करने की अनुमति देती है, जिससे वे प्लगइन की सेटिंग्स को बदल सकते हैं। उदाहरण के लिए, एक हमलावर लेखकों की सूची को संशोधित कर सकता है या अनसुलझे टिप्पणियों की संख्या को बदल सकता है, जिससे साइट की कार्यक्षमता बाधित हो सकती है या गलत जानकारी प्रदर्शित हो सकती है। चूंकि यह भेद्यता WordPress प्लगइन में मौजूद है, इसलिए यह साइट की सुरक्षा को गंभीर रूप से खतरे में डाल सकती है, खासकर यदि साइट पर संवेदनशील डेटा संग्रहीत है या महत्वपूर्ण कार्य किए जाते हैं। इस भेद्यता का फायदा उठाकर हमलावर साइट को दुर्भावनापूर्ण गतिविधियों के लिए उपयोग कर सकते हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बना सकते हैं। NVD में प्रकाशन की तारीख 2026-04-21 है।
WordPress websites utilizing the DX Unanswered Comments plugin, particularly those with administrative accounts that are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'dxuc-unanswered-comments-admin-page.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "DX Unanswered Comments"• wordpress / composer / npm:
wp plugin update --all• generic web: Inspect the plugin's admin page source code for missing nonce attributes in forms.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, DX Unanswered Comments प्लगइन को तुरंत नवीनतम संस्करण में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो CSRF हमलों को ब्लॉक करता है। इसके अतिरिक्त, आप WordPress की सुरक्षा सेटिंग्स को मजबूत कर सकते हैं, जैसे कि nonce सत्यापन को सक्षम करना और सभी उपयोगकर्ता इनपुट को मान्य करना। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन की सेटिंग्स की जांच करें और किसी भी अनधिकृत परिवर्तन की तलाश करें।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया भेद्यता (vulnerability) के विवरण की गहराई से समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन (mitigations) लागू करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और एक प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4138 DX Unanswered Comments WordPress प्लगइन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जो हमलावरों को प्लगइन सेटिंग्स को बदलने की अनुमति देती है।
यदि आप DX Unanswered Comments WordPress प्लगइन के संस्करण 1.7 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
DX Unanswered Comments WordPress प्लगइन को नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक करें।
हालांकि अभी तक सक्रिय रूप से शोषण की पुष्टि नहीं हुई है, लेकिन सार्वजनिक रूप से उपलब्ध PoC मौजूद हो सकते हैं।
कृपया WordPress प्लगइन भंडार या DX Unanswered Comments प्लगइन के डेवलपर की वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।