मुफ्त स्कैन करें
HIGHCVE-2026-39463CVSS 7.2

ManageWP Worker <= 4.9.31 - प्रमाणीकृत संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Unauthenticated Stored Cross-Site Scripting)

प्लेटफ़ॉर्म

wordpress

घटक

worker

में ठीक किया गया

4.9.32

AI Confidence: highNVDसमीक्षित: मई 2026
NVD पर देखें
सहेजें

ManageWP Worker वर्डप्रेस प्लगइन में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता हमलावरों को असुरक्षित इनपुट सैनिटाइजेशन के कारण मनमाना वेब स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जो तब निष्पादित हो सकती है जब कोई उपयोगकर्ता इंजेक्टेड पेज को एक्सेस करता है। यह भेद्यता ManageWP Worker के संस्करण 4.9.31 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 4.9.32 में इस समस्या का समाधान किया गया है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इन स्क्रिप्ट का उपयोग उपयोगकर्ता के सत्र कुकीज़ को चुराने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या उपयोगकर्ता के खाते पर नियंत्रण करने के लिए किया जा सकता है। हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, जैसे कि उपयोगकर्ता नाम, पासवर्ड और क्रेडिट कार्ड विवरण। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने या उपयोगकर्ताओं को वित्तीय नुकसान पहुंचाने के लिए भी किया जा सकता है। चूंकि यह एक संग्रहीत XSS भेद्यता है, इसलिए स्क्रिप्ट तब तक सक्रिय रहेगी जब तक कि उसे हटा नहीं दिया जाता है या प्लगइन को अपडेट नहीं किया जाता है।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन यह संभावना है कि हमलावर इस भेद्यता का फायदा उठाने की कोशिश करेंगे। इस CVE को CISA KEV में शामिल किया गया है, जो इसकी गंभीरता को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, जिससे इसका शोषण और आसान हो जाता है।

कौन जोखिम में हैअनुवाद हो रहा है…

WordPress websites utilizing the ManageWP Worker plugin, particularly those running versions 4.9.31 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites heavily reliant on user-generated content within the ManageWP Worker plugin are also more vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r "<script>" /var/www/html/wp-content/plugins/managewp-worker/

• wordpress / composer / npm:

wp plugin list --status=active | grep managewp-worker

• wordpress / composer / npm:

wp plugin update managewp-worker --all

हमले की समयरेखा

  1. Disclosure

    disclosure

  2. Patch

    patch

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकworker
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
4.9.314.9.32

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
1.0Mज्ञात
प्लगइन रेटिंग
4.6
WordPress आवश्यक
3.1+
संगत संस्करण तक
6.9.4
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. प्रकाशित
  2. संशोधित

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, ManageWP Worker प्लगइन को संस्करण 4.9.32 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक करने का प्रयास करें। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जा सकता है जिनमें दुर्भावनापूर्ण स्क्रिप्ट शामिल हैं। इसके अतिरिक्त, प्लगइन के इनपुट फ़ील्ड को ठीक से सैनिटाइज और आउटपुट को एस्केप करने के लिए प्लगइन कोड की समीक्षा करें। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के सभी पृष्ठों का परीक्षण करें।

कैसे ठीक करें

संस्करण 4.9.32 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-39463 — XSS ManageWP Worker में क्या है?

CVE-2026-39463 ManageWP Worker वर्डप्रेस प्लगइन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।

क्या मैं CVE-2026-39463 से ManageWP Worker में प्रभावित हूं?

यदि आप ManageWP Worker प्लगइन के संस्करण 4.9.31 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-39463 से ManageWP Worker को कैसे ठीक करूं?

ManageWP Worker प्लगइन को संस्करण 4.9.32 या बाद के संस्करण में अपडेट करें।

क्या CVE-2026-39463 सक्रिय रूप से शोषण किया जा रहा है?

अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन यह संभावना है कि हमलावर इसका फायदा उठाने की कोशिश करेंगे।

मैं CVE-2026-39463 के लिए आधिकारिक ManageWP Worker एडवाइजरी कहां पा सकता हूं?

ManageWP Worker एडवाइजरी के लिए आधिकारिक वेबसाइट देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें