प्लेटफ़ॉर्म
wordpress
घटक
optin
में ठीक किया गया
1.4.30
WowOptin: Next-Gen Popup Maker प्लगइन में एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। यह भेद्यता प्लगइन के संस्करण 1.0.0 से 1.4.29 तक मौजूद है, लेकिन 1.4.30 संस्करण में ठीक कर दी गई है।
यह SSRF भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है जो आम तौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। हमलावर आंतरिक सेवाओं को स्कैन कर सकते हैं, संवेदनशील डेटा तक पहुँच सकते हैं, या अन्य आंतरिक प्रणालियों पर हमला करने के लिए इस भेद्यता का उपयोग कर सकते हैं। वे आंतरिक वेबसर्वर, डेटाबेस या अन्य आंतरिक सेवाओं को उजागर कर सकते हैं। इस भेद्यता का शोषण करने के लिए हमलावर को प्लगइन के REST API एंडपॉइंट (optn/v1/integration-action) को कॉल करने की आवश्यकता होती है, जो बिना किसी प्रमाणीकरण के काम करता है। यह भेद्यता लॉग4शेल जैसी अन्य SSRF भेद्यताओं के समान गंभीर है, क्योंकि यह आंतरिक प्रणालियों तक पहुँच प्रदान कर सकती है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसके लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं। CVE-2026-4302 को CISA KEV सूची में जोड़ा गया है, जो इसकी गंभीरता को दर्शाता है। इस भेद्यता का सक्रिय रूप से शोषण किया जा सकता है, इसलिए तत्काल कार्रवाई करना महत्वपूर्ण है। NVD ने 2026-03-21 को इस भेद्यता को प्रकाशित किया।
WordPress websites using the WowOptin: Next-Gen Popup Maker plugin, particularly those with limited network segmentation or internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'optn/v1/integration-action' /var/www/html/wp-content/plugins/wow-optin-next-gen-popup-maker/• generic web:
curl -I https://your-wordpress-site.com/optn/v1/integration-action # Check for 200 OK response indicating endpoint exposuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तुरंत WowOptin: Next-Gen Popup Maker प्लगइन को संस्करण 1.4.30 या उच्चतर में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके REST API एंडपॉइंट (optn/v1/integration-action) को ब्लॉक करें। आप अपने वेब सर्वर के फ़ायरवॉल नियमों को भी कॉन्फ़िगर कर सकते हैं ताकि केवल विश्वसनीय स्रोतों से आने वाले अनुरोधों को ही अनुमति दी जा सके। इसके अतिरिक्त, प्लगइन के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि कोई भी अनावश्यक सुविधाएँ अक्षम हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए प्लगइन के REST API एंडपॉइंट का परीक्षण करें कि यह अब SSRF हमलों के प्रति संवेदनशील नहीं है।
संस्करण 1.4.30 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4302 WowOptin: Next-Gen Popup Maker प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप WowOptin: Next-Gen Popup Maker प्लगइन के संस्करण 1.0.0 से 1.4.29 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WowOptin: Next-Gen Popup Maker प्लगइन को संस्करण 1.4.30 या उच्चतर में तुरंत अपडेट करें।
CVE-2026-4302 सार्वजनिक रूप से ज्ञात है और इसके लिए सार्वजनिक रूप से उपलब्ध POC मौजूद हो सकते हैं, इसलिए सक्रिय शोषण की संभावना है।
WowOptin: Next-Gen Popup Maker के आधिकारिक सलाहकार के लिए, कृपया WowOptin वेबसाइट पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।