मुफ्त स्कैन करें
HIGHCVE-2026-4347CVSS 8.1

MW WP Form <= 5.1.0 - move_temp_file_to_upload_dir के माध्यम से अप्रमाणित मनमाना फ़ाइल स्थानांतरण

प्लेटफ़ॉर्म

wordpress

घटक

mw-wp-form

में ठीक किया गया

5.1.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें

CVE-2026-4347, वर्डप्रेस के लिए MW WP Form प्लगइन में एक मनमाना फ़ाइल एक्सेस भेद्यता है। इस भेद्यता के कारण, अनाधिकृत हमलावर सर्वर पर मनमाने ढंग से फ़ाइलों को स्थानांतरित कर सकते हैं, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है। यह भेद्यता संस्करण 0 से 5.1.0 तक प्रभावित करती है। संस्करण 5.1.1 में इस समस्या को ठीक कर दिया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

MW WP Form वर्डप्रेस प्लगइन में CVE-2026-4347 भेद्यता अनधिकृत हमलावरों को सर्वर पर मनमाना फ़ाइलों को स्थानांतरित करने की अनुमति देती है। यह 'generateuserfilepath' फ़ंक्शन और 'movetempfiletoupload_dir' फ़ंक्शन में फ़ाइल पथ सत्यापन की अपर्याप्तता के कारण है। यदि कोई हमलावर गंतव्य पथ को हेरफेर कर सकता है, तो वह महत्वपूर्ण सिस्टम फ़ाइलों, जैसे wp-config.php को स्थानांतरित कर सकता है, जिससे रिमोट कोड निष्पादन हो सकता है। MW WP Form पर निर्भर वेबसाइटों के लिए और प्लगइन को अपडेट नहीं करने वालों के लिए जोखिम महत्वपूर्ण है। शोषण की आसानी, संभावित सुरक्षा प्रभाव के साथ मिलकर, इस भेद्यता को ठीक करने के लिए उच्च प्राथमिकता बनाती है।

शोषण संदर्भ

यह भेद्यता MW WP Form प्लगइन के भीतर अपलोड पैरामीटर को हेरफेर करके शोषण की जाती है। एक हमलावर एक दुर्भावनापूर्ण अनुरोध भेज सकता है जो अपलोड की गई फ़ाइल के लिए मनमाना गंतव्य पथ निर्दिष्ट करता है। अपर्याप्त सत्यापन के कारण, प्लगइन फ़ाइल को निर्दिष्ट पथ पर ले जाएगा, जिससे हमलावर को महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट करने की अनुमति मिल सकती है। शोषण के लिए, हमलावर को प्लगइन की फ़ाइल अपलोड कार्यक्षमता के साथ इंटरैक्ट करने में सक्षम होना चाहिए, जिसमें आमतौर पर वेब फॉर्म तक पहुंच शामिल होती है। प्रमाणीकरण की कमी शोषण को अपेक्षाकृत आसान बनाती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.09% (26% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H8.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकmw-wp-form
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0 – 5.1.05.1.1

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
200Kज्ञात
प्लगइन रेटिंग
4.2
WordPress आवश्यक
6.0+
संगत संस्करण तक
6.4.8
PHP आवश्यक
8.0+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

सबसे प्रभावी समाधान MW WP Form प्लगइन को तुरंत संस्करण 5.1.1 या उच्चतर में अपडेट करना है। यह संस्करण फ़ाइल पथ सत्यापन को अधिक मजबूत बनाकर भेद्यता को ठीक करता है। इसके अतिरिक्त, वेबसाइट पर फ़ाइल और निर्देशिका अनुमतियों की जांच करें ताकि केवल अधिकृत उपयोगकर्ताओं को ही पहुंच प्राप्त हो। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से शोषण प्रयासों को अवरुद्ध करके अतिरिक्त सुरक्षा परत प्रदान की जा सकती है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकती है।

कैसे ठीक करें

संस्करण 5.1.1 या नए पैच किए गए संस्करण में अपडेट करें

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-4347 क्या है — MW WP Form में Remote Code Execution (RCE)?

यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो जब तक आप ऐसा कर सकते हैं, तब तक MW WP Form प्लगइन को अस्थायी रूप से अक्षम करने पर विचार करें। आप जोखिम को कम करने के लिए WAF जैसे अतिरिक्त सुरक्षा उपाय भी लागू कर सकते हैं।

क्या मैं MW WP Form में CVE-2026-4347 से प्रभावित हूं?

यदि आप MW WP Form के 5.1.1 से पहले का संस्करण उपयोग कर रहे हैं, तो आपकी वेबसाइट कमजोर है। आप वर्डप्रेस व्यवस्थापक पैनल में "प्लगइन" अनुभाग के तहत प्लगइन संस्करण की जांच कर सकते हैं।

MW WP Form में CVE-2026-4347 को कैसे ठीक करें?

ऐसे WordPress भेद्यता स्कैनर हैं जो इस भेद्यता का पता लगा सकते हैं। आप भेद्य कार्यों की पहचान करने के लिए प्लगइन कोड की मैन्युअल रूप से भी जांच कर सकते हैं।

क्या CVE-2026-4347 का सक्रिय रूप से शोषण किया जा रहा है?

WAF (वेब एप्लिकेशन फ़ायरवॉल) एक सुरक्षा उपकरण है जो वेब अनुप्रयोगों को हमलों से बचाता है। यह दुर्भावनापूर्ण अनुरोधों को अवरुद्ध कर सकता है और भेद्यताओं के शोषण को रोक सकता है।

CVE-2026-4347 के लिए MW WP Form का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

Contact Form 7, WPForms और Gravity Forms जैसे कई WordPress फॉर्म प्लगइन हैं। शोध करें और एक प्लगइन चुनें जिसकी सुरक्षा की अच्छी प्रतिष्ठा हो।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें