प्लेटफ़ॉर्म
wordpress
घटक
mw-wp-form
में ठीक किया गया
5.1.2
5.1.2
CVE-2026-5436 MW WP Form प्लगइन में एक Arbitrary File Access भेद्यता है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने या स्थानांतरित करने की अनुमति देती है, जिससे संवेदनशील डेटा का जोखिम बढ़ जाता है। यह भेद्यता MW WP Form के संस्करणों में मौजूद है जो 5.1.1 से कम या बराबर हैं। 5.1.2 में अपडेट करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को एक्सेस करने की अनुमति देती है, जिससे संवेदनशील डेटा, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य महत्वपूर्ण जानकारी का जोखिम बढ़ जाता है। हमलावर इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए भी कर सकते हैं। चूंकि यह WordPress प्लगइन से संबंधित है, इसलिए वेबसाइटों पर व्यापक प्रभाव पड़ सकता है जो इस प्लगइन का उपयोग करते हैं। इस भेद्यता का शोषण करने से वेबसाइट की सुरक्षा से समझौता हो सकता है और उपयोगकर्ता डेटा चोरी हो सकता है।
CVE-2026-5436 को अभी तक सक्रिय रूप से शोषण करने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता WordPress वेबसाइटों के लिए एक महत्वपूर्ण जोखिम पैदा करती है जो MW WP Form प्लगइन का उपयोग करते हैं। NVD ने 2026-04-08 को इस भेद्यता को प्रकाशित किया। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इसका शोषण करना आसान हो जाता है।
WordPress websites utilizing the MW WP Form plugin, particularly those running versions 5.1.1 or earlier, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites that rely on MW WP Form for critical data collection or form submissions are also at higher risk.
• wordpress / plugin:
wp plugin list | grep mwf• wordpress / plugin: Check plugin version in WordPress admin dashboard.
• wordpress / plugin: Search plugin files (e.g., wp-content/plugins/mw-wp-form/) for instances of generateuserfiledirpath() and pathjoin() to identify potential vulnerable code.
• generic web: Monitor web server access logs for requests containing suspicious characters or patterns in the mwfuploadfiles[] parameter.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (47% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5436 को कम करने के लिए, MW WP Form प्लगइन को तुरंत संस्करण 5.1.2 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड फ़ंक्शन को अक्षम करने या अपलोड फ़ोल्डर तक पहुंच को प्रतिबंधित करने पर विचार करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल एक्सेस प्रयासों को ब्लॉक किया जा सकता है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं।
संस्करण 5.1.2 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5436 MW WP Form प्लगइन में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने या स्थानांतरित करने की अनुमति देती है। यह अपलोड फ़ील्ड कुंजी में हेरफेर करने के कारण होता है।
यदि आप MW WP Form प्लगइन के संस्करण 5.1.1 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
MW WP Form प्लगइन को संस्करण 5.1.2 या बाद के संस्करण में अपडेट करके इस भेद्यता को ठीक करें।
CVE-2026-5436 को अभी तक सक्रिय रूप से शोषण करने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
आप MW WP Form वेबसाइट पर आधिकारिक सलाह पा सकते हैं: [https://www.mw-wp-form.com/](https://www.mw-wp-form.com/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।