प्लेटफ़ॉर्म
wordpress
घटक
inquiry-form-to-posts-or-pages
में ठीक किया गया
1.0.1
WordPress प्लगइन 'Inquiry Form to Posts or Pages' में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। इस भेद्यता के कारण हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या वेबसाइट की कार्यक्षमता में बदलाव किया जा सकता है। यह भेद्यता प्लगइन के संस्करण 1.0.0 से 1.0.0 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए प्लगइन को नवीनतम संस्करण में अपडेट करना आवश्यक है।
यह XSS भेद्यता हमलावरों को वेबसाइट पर संग्रहीत दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। जब कोई उपयोगकर्ता प्रभावित पृष्ठ को देखता है, तो यह स्क्रिप्ट निष्पादित हो सकती है, जिससे हमलावर उपयोगकर्ता के ब्राउज़र के माध्यम से वेबसाइट के साथ इंटरैक्ट कर सकता है। हमलावर कुकीज़ चुरा सकते हैं, उपयोगकर्ता को फ़िशिंग साइटों पर रीडायरेक्ट कर सकते हैं, या वेबसाइट की सामग्री को बदल सकते हैं। चूंकि यह एक संग्रहीत XSS भेद्यता है, इसलिए हमलावर को केवल एक बार स्क्रिप्ट इंजेक्ट करने की आवश्यकता होती है, और यह तब तक सभी उपयोगकर्ताओं को प्रभावित करेगा जब तक कि स्क्रिप्ट हटा नहीं दी जाती। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने और संवेदनशील जानकारी चोरी करने के लिए किया जा सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन मध्यम गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। हमलावरों द्वारा सक्रिय शोषण की संभावना मध्यम है, खासकर उन वेबसाइटों के लिए जो नवीनतम सुरक्षा अपडेट लागू नहीं करती हैं।
Websites using the Inquiry Form to Posts or Pages plugin, particularly those running WordPress versions that haven't been regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r "$_POST['inq_hidden'] == 'Y'" /var/www/wordpress/wp-content/plugins/inquiry-form-to-posts-or-pages/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'inquiry-form-to-posts-or-pages'• wordpress / composer / npm:
wp plugin list | grep 'inquiry-form-to-posts-or-pages'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-6293 को कम करने के लिए, सबसे पहले प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, 'Inquiry Form to Posts or Pages' प्लगइन को अक्षम करें। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को फ़िल्टर कर सके। WAF नियमों को इस विशेष भेद्यता को लक्षित करने के लिए कॉन्फ़िगर किया जाना चाहिए। प्लगइन के इनपुट फ़ील्ड को ठीक से सैनिटाइज़ करने के लिए, WordPress के अंतर्निहित फ़ंक्शन जैसे sanitizetextfield() का उपयोग करें। अपडेट के बाद, यह सुनिश्चित करने के लिए प्लगइन के सभी सेटिंग्स की जांच करें कि कोई दुर्भावनापूर्ण स्क्रिप्ट मौजूद नहीं है।
कोई ज्ञात पैच उपलब्ध नहीं है। कृपया गहराई से भेद्यता के विवरण की समीक्षा करें और अपने संगठन के जोखिम सहनशीलता के आधार पर शमन उपाय करें। प्रभावित सॉफ़्टवेयर को अनइंस्टॉल करना और प्रतिस्थापन खोजना सबसे अच्छा हो सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-6293 WordPress प्लगइन 'Inquiry Form to Posts or Pages' में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप WordPress के Inquiry Form to Posts or Pages प्लगइन के संस्करण 1.0.0 से 1.0.0 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-6293 को ठीक करने के लिए, प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि अपडेट तुरंत संभव नहीं है, तो प्लगइन को अक्षम करें।
CVE-2026-6293 सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए PoC मौजूद हो सकते हैं, इसलिए सक्रिय शोषण की संभावना मध्यम है।
कृपया WordPress के आधिकारिक सुरक्षा सलाहकार वेबसाइट पर जाएं: [https://wpscan.com/scan/167840](https://wpscan.com/scan/167840)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।