मुफ्त स्कैन करें
HIGHCVE-2026-6177CVSS 7.2

CVE-2026-6177: XSS in Custom Twitter Feeds WordPress Plugin

प्लेटफ़ॉर्म

wordpress

घटक

custom-twitter-feeds

में ठीक किया गया

2.5.5

NVD पर देखें
सहेजें

कस्टम ट्विटर फ़ीड्स प्लगइन, वर्डप्रेस के लिए एक ट्वीट विजेट, संस्करण 2.5.4 और उससे पहले के संस्करणों में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता मौजूद है। यह भेद्यता CTFDisplayElements::getposttext() फ़ंक्शन में अपर्याप्त आउटपुट एस्केपिंग के कारण होती है। हमलावर इस भेद्यता का उपयोग करके दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या साइट का नियंत्रण हमलावर के हाथ में आ सकता है। संस्करण 2.5.5 में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह XSS भेद्यता हमलावर को वर्डप्रेस साइट पर मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है जो उपयोगकर्ता के ब्राउज़र में चलती है, जिससे वे संवेदनशील जानकारी जैसे कुकीज़, सत्र टोकन और अन्य व्यक्तिगत डेटा चुरा सकते हैं। इसके अतिरिक्त, हमलावर उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकता है, फ़िशिंग हमले कर सकता है या साइट के रूप को बदल सकता है। चूंकि ctfgetmore_posts AJAX एक्शन बिना प्रमाणीकरण के उपलब्ध है, इसलिए कोई भी हमलावर इस भेद्यता का फायदा उठा सकता है। यह भेद्यता साइट की सुरक्षा और अखंडता के लिए एक गंभीर खतरा है।

शोषण संदर्भ

यह भेद्यता अभी तक सार्वजनिक रूप से व्यापक रूप से शोषण नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। इस भेद्यता के लिए कोई ज्ञात सार्वजनिक प्रमाण-अवधारणा (POC) नहीं है, लेकिन XSS भेद्यताओं का शोषण करने के लिए कई ज्ञात तकनीकें हैं। NVD और CISA ने इस CVE के लिए अलर्ट जारी किए हैं। इस भेद्यता का जोखिम मध्यम है, क्योंकि यह वर्डप्रेस साइटों की एक बड़ी संख्या को प्रभावित करता है और इसका शोषण करना अपेक्षाकृत आसान है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

EPSS

0.16% (37% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकcustom-twitter-feeds
विक्रेताwordfence
अधिकतम संस्करण2.5.4
में ठीक किया गया2.5.5

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, कस्टम ट्विटर फ़ीड्स प्लगइन को तुरंत संस्करण 2.5.5 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को फ़िल्टर कर सके। WAF को ctfgetmore_posts AJAX एक्शन के लिए इनपुट को मान्य करने और दुर्भावनापूर्ण स्क्रिप्ट को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, सुनिश्चित करें कि वर्डप्रेस साइट पर सभी सुरक्षा पैच लागू हैं और नियमित रूप से स्कैन की जा रही है। अपडेट के बाद, जांचें कि क्या कोई दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट की जा सकती है, यह सुनिश्चित करने के लिए कि पैच प्रभावी है।

कैसे ठीक करें

संस्करण 2.5.5 में अपडेट करें, या एक नया पैच किया गया संस्करण

अक्सर पूछे जाने वाले सवाल

CVE-2026-6177 — XSS कस्टम ट्विटर फ़ीड्स में क्या है?

CVE-2026-6177 कस्टम ट्विटर फ़ीड्स प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।

क्या मैं CVE-2026-6177 कस्टम ट्विटर फ़ीड्स में प्रभावित हूँ?

यदि आप कस्टम ट्विटर फ़ीड्स प्लगइन के संस्करण 2.5.4 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-6177 कस्टम ट्विटर फ़ीड्स में कैसे ठीक करूँ?

कस्टम ट्विटर फ़ीड्स प्लगइन को संस्करण 2.5.5 में अपडेट करें।

क्या CVE-2026-6177 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि अभी तक सार्वजनिक रूप से व्यापक रूप से शोषण नहीं किया गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।

मैं CVE-2026-6177 के लिए आधिकारिक कस्टम ट्विटर फ़ीड्स सलाहकार कहां पा सकता हूं?

आप कस्टम ट्विटर फ़ीड्स वेबसाइट पर सलाहकार पा सकते हैं: [https://wordpress.org/plugins/custom-twitter-feeds/](https://wordpress.org/plugins/custom-twitter-feeds/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें
liveमुफ्त स्कैन

अपने WordPress प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

कोई भी मैनिफेस्ट (composer.lock, package-lock.json, WordPress प्लगइन सूची…) अपलोड करें या अपनी कंपोनेंट सूची पेस्ट करें। आपको तुरंत एक भेद्यता रिपोर्ट मिलेगी। फ़ाइल अपलोड करना सिर्फ शुरुआत है: एक अकाउंट के साथ आपको निरंतर निगरानी, Slack/ईमेल अलर्ट, मल्टी-प्रोजेक्ट और व्हाइट-लेबल रिपोर्ट मिलती है।

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringव्हाइट-लेबल रिपोर्ट

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...