प्लेटफ़ॉर्म
wordpress
घटक
barcode-scanner-lite-pos-to-manage-products-inventory-and-orders
में ठीक किया गया
1.11.1
1.12.0
बारकोड स्कैनर (+मोबाइल ऐप) – इन्वेंट्री मैनेजर, ऑर्डर पूर्ति प्रणाली, POS (पॉइंट ऑफ़ सेल) वर्डप्रेस प्लगइन में एक गंभीर विशेषाधिकार वृद्धि भेद्यता पाई गई है। यह भेद्यता असुरक्षित टोकन-आधारित प्रमाणीकरण के कारण है, जहाँ प्लगइन उपयोगकर्ता-प्रदत्त Base64-एन्कोडेड उपयोगकर्ता आईडी को उपयोगकर्ताओं की पहचान करने के लिए टोकन पैरामीटर में विश्वास करता है। 1.12.0 या बाद के संस्करण में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को बिना किसी प्रमाणीकरण के व्यवस्थापक विशेषाधिकार प्राप्त करने की अनुमति देती है। हमलावर 'barcodeScannerConfigs' क्रिया के माध्यम से वैध प्रमाणीकरण टोकन लीक कर सकते हैं और 'setUserMeta' क्रिया पर मेटा-कुंजी प्रतिबंधों की कमी का फायदा उठा सकते हैं। इससे वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं, संवेदनशील डेटा तक पहुंच सकते हैं, और दुर्भावनापूर्ण क्रियाएं कर सकते हैं, जैसे कि डेटा को संशोधित करना या हटाना, या अन्य वेबसाइटों पर रीडायरेक्ट करना। यह भेद्यता वर्डप्रेस वेबसाइटों के लिए एक गंभीर खतरा है जो इस प्लगइन का उपयोग करते हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जाना संभव है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल नहीं किया है। इस भेद्यता के बारे में जानकारी 2026-04-16 को प्रकाशित की गई थी।
एक्सप्लॉइट स्थिति
EPSS
0.14% (34% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तुरंत प्लगइन को संस्करण 1.12.0 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो संदिग्ध टोकन अनुरोधों को ब्लॉक करता है। इसके अतिरिक्त, 'setUserMeta' क्रिया पर मेटा-कुंजी प्रतिबंधों को लागू करने पर विचार करें। प्लगइन के कॉन्फ़िगरेशन फ़ाइलों की नियमित रूप से निगरानी करें ताकि अनधिकृत परिवर्तनों का पता लगाया जा सके।
1.12.0 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4880 एक गंभीर विशेषाधिकार वृद्धि भेद्यता है जो असुरक्षित टोकन प्रमाणीकरण के कारण बारकोड स्कैनर वर्डप्रेस प्लगइन को प्रभावित करती है, जिससे हमलावर व्यवस्थापक विशेषाधिकार प्राप्त कर सकते हैं।
यदि आप बारकोड स्कैनर वर्डप्रेस प्लगइन के संस्करण 1.11.0 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, तुरंत प्लगइन को संस्करण 1.12.0 या बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जाना संभव है।
कृपया प्लगइन डेवलपर की वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।