प्लेटफ़ॉर्म
wordpress
घटक
wc-frontend-manager
में ठीक किया गया
6.7.26
CVE-2026-4896 WCFM – WooCommerce के लिए फ्रंटएंड मैनेजर प्लगइन में एक असुरक्षित डायरेक्ट ऑब्जेक्ट संदर्भ (IDOR) भेद्यता है। इस भेद्यता के कारण, प्रमाणित हमलावर, जिनके पास विक्रेता-स्तर की पहुंच या उससे ऊपर है, किसी भी ऑर्डर की स्थिति को संशोधित करने, किसी भी पोस्ट/उत्पाद/पृष्ठ को हटाने या संशोधित करने में सक्षम हो सकते हैं, भले ही स्वामित्व कुछ और हो। यह भेद्यता WCFM प्लगइन के संस्करण 0.0.0 से लेकर 6.7.25 तक के संस्करणों को प्रभावित करती है। प्लगइन के संस्करण 6.7.26 में इस समस्या का समाधान किया गया है।
CVE-2026-4896 WCFM – Frontend Manager for WooCommerce प्लगइन और Bookings Subscription Listings Compatible प्लगइन को प्रभावित करता है। यह एक असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ (IDOR) भेद्यता है। विक्रेता-स्तर के एक्सेस वाले प्रमाणित हमलावर उचित प्राधिकरण के बिना ऑर्डर, लेख और उत्पादों जैसे संवेदनशील डेटा को संभावित रूप से हेरफेर या हटा सकते हैं। यह भेद्यता कई AJAX क्रियाओं (जैसे wcfmmodifyorderstatus, deletewcfmarticle, deletewcfm_product और लेख प्रबंधन नियंत्रक) में उपयोगकर्ता द्वारा प्रदान किए गए ऑब्जेक्ट आईडी के उचित सत्यापन की कमी के कारण होती है। यह हमलावर को विक्रेता के रूप में प्रमाणित होने के बाद, उन संसाधनों तक पहुंचने और संशोधित करने की अनुमति देता है जिनके लिए उनके पास अधिकार नहीं है, जिससे WooCommerce स्टोर डेटा की अखंडता और गोपनीयता से समझौता होता है।
WCFM का उपयोग करने वाले WordPress साइट पर विक्रेता-स्तर के एक्सेस वाले एक हमलावर इस भेद्यता का शोषण कर सकते हैं। उदाहरण के लिए, वे उन ऑर्डर की स्थिति को संशोधित कर सकते हैं जिनके वे मालिक नहीं हैं, उन लेखों या उत्पादों को हटा सकते हैं जिन्हें उन्होंने नहीं बनाया है, या लेख प्रबंधन नियंत्रक के माध्यम से संवेदनशील जानकारी तक पहुंच सकते हैं। शोषण के लिए प्रमाणीकरण की आवश्यकता होती है, लेकिन इसके लिए व्यवस्थापक विशेषाधिकार की आवश्यकता नहीं होती है। शोषण की सरलता, WCFM प्लगइन की लोकप्रियता के साथ मिलकर, इस भेद्यता को WooCommerce साइटों के लिए एक महत्वपूर्ण जोखिम बनाती है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान WCFM – Frontend Manager for WooCommerce प्लगइन को संस्करण 6.7.26 या उच्चतर में अपडेट करना है। इस अपडेट में उपयोगकर्ता द्वारा प्रदान किए गए ऑब्जेक्ट आईडी को ठीक से मान्य करने के लिए आवश्यक फिक्स शामिल हैं, जिससे शोषण का जोखिम कम हो जाता है। WCFM का उपयोग करने वाले WordPress साइट प्रशासकों को संभावित हमलों से अपने WooCommerce स्टोर की सुरक्षा के लिए जल्द से जल्द प्लगइन को अपडेट करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, उपयोगकर्ता अनुमतियों की समीक्षा करें और सुनिश्चित करें कि 'विक्रेता' भूमिकाओं को उन कार्यों तक सीमित पहुंच है जिनका शोषण किया जा सकता है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करने से भी संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने में मदद मिल सकती है।
संस्करण 6.7.26 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
IDOR का अर्थ है असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ (Insecure Direct Object Reference)। यह तब होता है जब कोई एप्लिकेशन उपयोगकर्ता द्वारा प्रदान किए गए पहचानकर्ता का उपयोग करके सीधे एक आंतरिक ऑब्जेक्ट तक पहुंचता है, बिना यह सत्यापित किए कि उपयोगकर्ता के पास उस ऑब्जेक्ट तक पहुंचने का अधिकार है।
'विक्रेता' का अर्थ WooCommerce स्टोर में उत्पादों और ऑर्डर को प्रबंधित करने में सक्षम एक विशिष्ट उपयोगकर्ता भूमिका है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो फ़ायरवॉल नियमों के माध्यम से या अतिरिक्त एक्सेस नियंत्रण लागू करके कमजोर AJAX कार्यों तक पहुंच को प्रतिबंधित करने पर विचार करें।
हालांकि इस भेद्यता के लिए कोई विशिष्ट उपकरण नहीं है, आप वेब सुरक्षा स्कैनर का उपयोग कर सकते हैं जो IDOR पैटर्न की तलाश करते हैं या मैन्युअल सुरक्षा परीक्षण कर सकते हैं।
WordPress, प्लगइन और थीम को अपडेट रखें, मजबूत पासवर्ड का उपयोग करें, वेब एप्लिकेशन फ़ायरवॉल लागू करें और अपनी साइट का नियमित रूप से बैकअप लें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।