मुफ्त स्कैन करें
MEDIUMCVE-2026-4333CVSS 6.4

LearnPress <= 4.3.3 - प्रमाणित (योगदानकर्ता+) 'skin' शॉर्टकोड विशेषता के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग

प्लेटफ़ॉर्म

wordpress

घटक

learnpress

में ठीक किया गया

4.3.4

4.3.4

AI Confidence: highNVDEPSS 0.0%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-4333 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the LearnPress WordPress LMS Plugin. This flaw allows authenticated attackers, possessing Contributor-level access or higher, to inject malicious web scripts into pages. The vulnerability affects versions of the plugin up to and including 4.3.3, and a patch is available in version 4.3.4.

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

CVE-2026-4333 वल्नरेबिलिटी WordPress LMS प्लगइन LearnPress में मौजूद है, जो इस लर्निंग मैनेजमेंट सिस्टम (LMS) का उपयोग करने वाली वेबसाइटों के लिए एक महत्वपूर्ण जोखिम है। एक हमलावर learnpresscourses शॉर्टकोड के 'skin' विशेषता के माध्यम से कोर्स पेजों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह इंजेक्ट किया गया कोड उन उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होता है जो प्रभावित पृष्ठों पर जाते हैं, जिससे कुकीज़ चोरी हो सकती हैं, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट हो सकता है या पेज कंटेंट में हेरफेर हो सकता है। मुख्य कारण 'skin' विशेषता को HTML जनरेशन में उपयोग करने से पहले उचित इनपुट सैनिटाइज नहीं करना है। बड़ी संख्या में पंजीकृत कोर्स उपयोगकर्ताओं वाली वेबसाइटें विशेष रूप से कमजोर हैं, क्योंकि सफल हमले से कई उपयोगकर्ताओं को प्रभावित किया जा सकता है।

शोषण संदर्भ

एक हमलावर learnpresscourses शॉर्टकोड बनाकर और 'skin' विशेषता में दुर्भावनापूर्ण मान सेट करके इस भेद्यता का फायदा उठा सकता है। इस दुर्भावनापूर्ण मान में जावास्क्रिप्ट कोड शामिल होगा जो शॉर्टकोड वाले पेज पर जाने वाले उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होगा। हमलावर इस शॉर्टकोड को सीधे वेबसाइट कोड में इंजेक्ट कर सकता है, या किसी अन्य प्लगइन या थीम में कोड इंजेक्शन की अनुमति देने वाले भेद्यता का उपयोग करके इंजेक्ट कर सकता है। इस भेद्यता की आसान शोषण LearnPress उपयोगकर्ताओं के लिए एक महत्वपूर्ण चिंता का विषय है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.04% (12% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकlearnpress
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 4.3.34.3.4
4.3.34.3.4

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
80Kज्ञात
प्लगइन रेटिंग
4.3
WordPress आवश्यक
6.0+
संगत संस्करण तक
7.0
PHP आवश्यक
7.4+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के -8 दिन बाद पैच

शमन और वर्कअराउंड

अनुशंसित समाधान LearnPress प्लगइन को संस्करण 4.3.4 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो 'skin' विशेषता इनपुट को उपयोग करने से पहले उचित रूप से सैनिटाइज करता है, जिससे दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सकता है। इसके अतिरिक्त, 'skin' विशेषता में कोई अविश्वसनीय मान उपयोग नहीं किया जा रहा है यह सुनिश्चित करने के लिए वेबसाइट पर मौजूदा शॉर्टकोड की जांच करें। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में learnpresscourses शॉर्टकोड को अक्षम करना या व्यवस्थापकों के साथ प्रमाणित उपयोगकर्ताओं तक कोर्स पेजों तक पहुंच को प्रतिबंधित करना है। किसी भी अपडेट या संशोधन को लागू करने से पहले वेबसाइट का बैकअप लेना महत्वपूर्ण है।

कैसे ठीक करें

संस्करण 4.3.4 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-4333 क्या है — LearnPress – WordPress LMS Plugin for Create and Sell Online Courses में Cross-Site Scripting (XSS)?

LearnPress एक लोकप्रिय WordPress प्लगइन है जो उपयोगकर्ताओं को ऑनलाइन पाठ्यक्रम बनाने और बेचने की अनुमति देता है।

क्या मैं LearnPress – WordPress LMS Plugin for Create and Sell Online Courses में CVE-2026-4333 से प्रभावित हूं?

संस्करण 4.3.4 CVE-2026-4333 भेद्यता को ठीक करता है, जिससे दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सकता है।

LearnPress – WordPress LMS Plugin for Create and Sell Online Courses में CVE-2026-4333 को कैसे ठीक करें?

learnpresscourses शॉर्टकोड को अक्षम करें या व्यवस्थापकों तक कोर्स पेजों तक पहुंच को प्रतिबंधित करें।

क्या CVE-2026-4333 का सक्रिय रूप से शोषण किया जा रहा है?

यदि आप 4.3.4 से पहले का संस्करण उपयोग कर रहे हैं, तो आपकी वेबसाइट कमजोर है।

CVE-2026-4333 के लिए LearnPress – WordPress LMS Plugin for Create and Sell Online Courses का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

सभी प्लगइन्स और थीम को अपडेट रखें, मजबूत पासवर्ड का उपयोग करें और दो-कारक प्रमाणीकरण सक्षम करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें