प्लेटफ़ॉर्म
wordpress
घटक
learnpress
में ठीक किया गया
4.3.4
4.3.4
CVE-2026-4333 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the LearnPress WordPress LMS Plugin. This flaw allows authenticated attackers, possessing Contributor-level access or higher, to inject malicious web scripts into pages. The vulnerability affects versions of the plugin up to and including 4.3.3, and a patch is available in version 4.3.4.
CVE-2026-4333 वल्नरेबिलिटी WordPress LMS प्लगइन LearnPress में मौजूद है, जो इस लर्निंग मैनेजमेंट सिस्टम (LMS) का उपयोग करने वाली वेबसाइटों के लिए एक महत्वपूर्ण जोखिम है। एक हमलावर learnpresscourses शॉर्टकोड के 'skin' विशेषता के माध्यम से कोर्स पेजों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह इंजेक्ट किया गया कोड उन उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होता है जो प्रभावित पृष्ठों पर जाते हैं, जिससे कुकीज़ चोरी हो सकती हैं, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट हो सकता है या पेज कंटेंट में हेरफेर हो सकता है। मुख्य कारण 'skin' विशेषता को HTML जनरेशन में उपयोग करने से पहले उचित इनपुट सैनिटाइज नहीं करना है। बड़ी संख्या में पंजीकृत कोर्स उपयोगकर्ताओं वाली वेबसाइटें विशेष रूप से कमजोर हैं, क्योंकि सफल हमले से कई उपयोगकर्ताओं को प्रभावित किया जा सकता है।
एक हमलावर learnpresscourses शॉर्टकोड बनाकर और 'skin' विशेषता में दुर्भावनापूर्ण मान सेट करके इस भेद्यता का फायदा उठा सकता है। इस दुर्भावनापूर्ण मान में जावास्क्रिप्ट कोड शामिल होगा जो शॉर्टकोड वाले पेज पर जाने वाले उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होगा। हमलावर इस शॉर्टकोड को सीधे वेबसाइट कोड में इंजेक्ट कर सकता है, या किसी अन्य प्लगइन या थीम में कोड इंजेक्शन की अनुमति देने वाले भेद्यता का उपयोग करके इंजेक्ट कर सकता है। इस भेद्यता की आसान शोषण LearnPress उपयोगकर्ताओं के लिए एक महत्वपूर्ण चिंता का विषय है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान LearnPress प्लगइन को संस्करण 4.3.4 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो 'skin' विशेषता इनपुट को उपयोग करने से पहले उचित रूप से सैनिटाइज करता है, जिससे दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सकता है। इसके अतिरिक्त, 'skin' विशेषता में कोई अविश्वसनीय मान उपयोग नहीं किया जा रहा है यह सुनिश्चित करने के लिए वेबसाइट पर मौजूदा शॉर्टकोड की जांच करें। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में learnpresscourses शॉर्टकोड को अक्षम करना या व्यवस्थापकों के साथ प्रमाणित उपयोगकर्ताओं तक कोर्स पेजों तक पहुंच को प्रतिबंधित करना है। किसी भी अपडेट या संशोधन को लागू करने से पहले वेबसाइट का बैकअप लेना महत्वपूर्ण है।
संस्करण 4.3.4 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
LearnPress एक लोकप्रिय WordPress प्लगइन है जो उपयोगकर्ताओं को ऑनलाइन पाठ्यक्रम बनाने और बेचने की अनुमति देता है।
संस्करण 4.3.4 CVE-2026-4333 भेद्यता को ठीक करता है, जिससे दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सकता है।
learnpresscourses शॉर्टकोड को अक्षम करें या व्यवस्थापकों तक कोर्स पेजों तक पहुंच को प्रतिबंधित करें।
यदि आप 4.3.4 से पहले का संस्करण उपयोग कर रहे हैं, तो आपकी वेबसाइट कमजोर है।
सभी प्लगइन्स और थीम को अपडेट रखें, मजबूत पासवर्ड का उपयोग करें और दो-कारक प्रमाणीकरण सक्षम करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।