प्लेटफ़ॉर्म
wordpress
घटक
debugger-troubleshooter
में ठीक किया गया
1.3.3
CVE-2026-5130, WordPress के Debugger & Troubleshooter प्लगइन में एक विशेषाधिकार वृद्धि भेद्यता है। इस भेद्यता के कारण, हमलावर बिना प्रमाणित हुए किसी भी उपयोगकर्ता के रूप में प्रतिरूपण कर सकते हैं, जिससे उन्हें व्यवस्थापक-स्तर की पहुंच प्राप्त हो सकती है। यह भेद्यता 1.3.2 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.4.0 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-5130 WordPress के Debugger & Troubleshooter प्लगइन में अनधिकृत विशेषाधिकार वृद्धि की अनुमति देता है। 1.3.2 तक के प्लगइन संस्करण कमजोर हैं। समस्या यह है कि प्लगइन किसी भी क्रिप्टोग्राफिक सत्यापन या प्राधिकरण जांच के बिना सीधे wpdebugtroubleshootsimulateuser कुकी मान को उपयोगकर्ता आईडी के रूप में स्वीकार करता है। यह एक अनधिकृत हमलावर को बस अपने लक्ष्य के उपयोगकर्ता आईडी पर कुकी सेट करके किसी भी उपयोगकर्ता का प्रतिरूपण करने की अनुमति देता है। यह भेद्यता एक हमलावर को संवेदनशील जानकारी तक पहुंचने, किसी अन्य उपयोगकर्ता की ओर से कार्रवाई करने या यहां तक कि WordPress वेबसाइट पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकती है।
एक हमलावर व्यवस्थापक या किसी अन्य विशेषाधिकार प्राप्त उपयोगकर्ता के उपयोगकर्ता आईडी मान के साथ एक कुकी बनाकर इस भेद्यता का फायदा उठा सकता है। इस कुकी को उपयोगकर्ता के ब्राउज़र में JavaScript के माध्यम से या अन्य कुकी हेरफेर तकनीकों का उपयोग करके सेट किया जा सकता है। कुकी सेट होने के बाद, प्लगइन वर्तमान उपयोगकर्ता को निर्धारित करने के लिए इस मान का उपयोग करेगा, जिससे हमलावर उस उपयोगकर्ता के रूप में कार्य कर सकेगा। इस भेद्यता का आसानी से फायदा उठाया जा सकता है, जो इसे WordPress वेबसाइटों के लिए एक महत्वपूर्ण जोखिम बनाता है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता का समाधान Debugger & Troubleshooter प्लगइन को संस्करण 1.4.0 या बाद के संस्करण में अपडेट करना है। यह संस्करण wpdebugtroubleshootsimulateuser कुकी मान को ठीक से मान्य करके और वर्तमान उपयोगकर्ता को निर्धारित करने से पहले प्राधिकरण को सत्यापित करके इस त्रुटि को ठीक करता है। इस बीच, एक अस्थायी शमन उपाय के रूप में, यदि प्लगइन बिल्कुल आवश्यक नहीं है, तो इसे अक्षम करने की अनुशंसा की जाती है। संभावित हमलों से अपनी WordPress वेबसाइट की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करना महत्वपूर्ण है।
संस्करण 1.4.0, या एक नए पैच किए गए संस्करण में अपडेट करें
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक हमला है जो सीमित विशेषाधिकारों वाले उपयोगकर्ता को उन कार्यों या डेटा तक पहुंचने की अनुमति देता है जो उन्हें सामान्य रूप से एक्सेस करने की अनुमति नहीं होगी।
Debugger & Troubleshooter प्लगइन का संस्करण जांचें। यदि यह 1.4.0 से पुराना है, तो यह कमजोर है।
जब तक आप इसे अपडेट नहीं कर सकते, तब तक प्लगइन को अस्थायी रूप से अक्षम कर दें।
सुनिश्चित करें कि आपके सभी प्लगइन और WordPress कोर अपडेट किए गए हैं। मजबूत पासवर्ड का उपयोग करें और वेब एप्लिकेशन फ़ायरवॉल (WAF) लागू करने पर विचार करें।
आप CVE भेद्यता डेटाबेस में अधिक जानकारी पा सकते हैं: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-5130
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।