मुफ्त स्कैन करें
MEDIUMCVE-2026-5529CVSS 4.3

Dromara lamp-cloud DefUserController पेजUser अनुचित प्राधिकरण

प्लेटफ़ॉर्म

php

घटक

lamp-cloud

में ठीक किया गया

5.8.1

5.8.2

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-5529 Dromara lamp-cloud के 5.8.0 से 5.8.1 संस्करणों में पाया गया एक भेद्यता है। यह भेद्यता /defUser/pageUser फ़ाइल के pageUser फ़ंक्शन में अनुचित प्राधिकरण की अनुमति देती है, जिससे हमलावर को रिमोट रूप से सिस्टम तक अनधिकृत पहुंच प्राप्त हो सकती है। इस भेद्यता की जानकारी परियोजना को दी गई थी, लेकिन अभी तक कोई प्रतिक्रिया नहीं मिली है। इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।

प्रभाव और हमले की स्थितियाँ

Dromara lamp-cloud के संस्करण 5.8.1 और उससे पहले में एक विशेषाधिकार वृद्धि भेद्यता का पता चला है। यह भेद्यता DefUserController घटक में /defUser/pageUser फ़ाइल में pageUser फ़ंक्शन में स्थित है। एक हमलावर इस दोष का फायदा उठाकर अनधिकृत संसाधनों तक पहुंच प्राप्त कर सकता है या उचित प्राधिकरण के बिना क्रियाएं कर सकता है। इस भेद्यता की गंभीरता को CVSS 4.3 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। शोषण सार्वजनिक रूप से उपलब्ध है और इसे दूर से शुरू किया जा सकता है, जिससे इस भेद्यता को संबोधित करने की तात्कालिकता बढ़ जाती है। समस्या रिपोर्ट के माध्यम से समस्या की शुरुआती सूचना के बावजूद परियोजना की ओर से प्रतिक्रिया की कमी चिंताजनक है और तत्काल ध्यान देने की आवश्यकता है।

शोषण संदर्भ

इस भेद्यता का दूर से फायदा उठाया जा सकता है, जिसका अर्थ है कि हमलावर को प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण सार्वजनिक रूप से उपलब्ध है, जिससे हमलावरों के लिए इसका उपयोग करना आसान हो जाता है। DefUserController घटक और pageUser फ़ंक्शन शोषण के प्रवेश बिंदु हैं। परियोजना की ओर से प्रतिक्रिया की कमी का मतलब है कि यह भेद्यता लंबे समय तक अनसुलझा रह सकती है, जिससे हमले का खतरा बढ़ जाता है। lamp-cloud कॉन्फ़िगरेशन से संबंधित किसी भी अन्य संभावित जोखिमों की पहचान करने और कम करने के लिए एक व्यापक सुरक्षा ऑडिट की सिफारिश की जाती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations deploying lamp-cloud versions 5.8.0 through 5.8.1 are at immediate risk. This includes those using lamp-cloud for cloud management and automation tasks. Shared hosting environments utilizing these versions are particularly vulnerable due to the potential for cross-tenant exploitation.

पहचान के चरणअनुवाद हो रहा है…

• php / server:

find /var/www/html -name "DefUserController.php"

• generic web:

curl -I https://your-lamp-cloud-instance/defUser/pageUser

• generic web:

grep -r 'pageUser' /var/log/apache2/access.log

हमले की समयरेखा

  1. Disclosure

    disclosure

  2. PoC

    poc

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.01% (1% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:P/RL:X/RC:R4.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकlamp-cloud
विक्रेताDromara
प्रभावित श्रेणीमें ठीक किया गया
5.8.0 – 5.8.05.8.1
5.8.1 – 5.8.15.8.2

कमजोरी वर्गीकरण (CWE)

CWE-285CWE-266

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 49 दिन

शमन और वर्कअराउंड

वर्तमान में, Dromara परियोजना CVE-2026-5529 के लिए कोई आधिकारिक फिक्स प्रदान नहीं करती है। जब तक पैच जारी नहीं किया जाता है, lamp-cloud के संस्करण 5.8.1 से पहले के उपयोगकर्ताओं को अस्थायी शमन उपाय लागू करने की दृढ़ता से सलाह दी जाती है। इसमें सख्त एक्सेस नियंत्रण लागू करना, सिस्टम पर संदिग्ध गतिविधि की निगरानी करना और pageUser फ़ंक्शन तक पहुंच को सीमित करना शामिल हो सकता है। उपयोगकर्ताओं को Dromara परियोजना द्वारा भविष्य में जारी किए जा सकने वाले किसी भी अपडेट या पैच के बारे में सूचित रहना महत्वपूर्ण है। Dromara टीम से संपर्क करके अपनी चिंता व्यक्त करने और फिक्स की स्थिति के बारे में जानकारी मांगने की सलाह दी जाती है। एक बार उपलब्ध होने पर, पैच किए गए संस्करण में अपग्रेड करना अंतिम समाधान है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice lamp-cloud a una versión corregida.  El proyecto Dromara ha sido notificado del problema, pero aún no ha proporcionado una solución.  Consulte las fuentes de referencia para obtener más información y posibles soluciones alternativas.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-5529 क्या है — lamp-cloud में?

CVSS 4.3 एक गंभीरता स्कोर है जो भेद्यता से जुड़े जोखिम को इंगित करता है। 4.3 का स्कोर मध्यम से उच्च जोखिम का सुझाव देता है।

क्या मैं lamp-cloud में CVE-2026-5529 से प्रभावित हूं?

यदि आप lamp-cloud संस्करण 5.8.1 या उससे पहले का उपयोग कर रहे हैं, तो आप संभवतः इस भेद्यता से प्रभावित हैं।

lamp-cloud में CVE-2026-5529 को कैसे ठीक करें?

सख्त एक्सेस नियंत्रण लागू करें, सिस्टम पर संदिग्ध गतिविधि की निगरानी करें और pageUser फ़ंक्शन तक पहुंच को सीमित करें।

क्या CVE-2026-5529 का सक्रिय रूप से शोषण किया जा रहा है?

lamp-cloud दस्तावेज़ और CVE-2026-5529 से संबंधित सुरक्षा रिपोर्ट देखें।

CVE-2026-5529 के लिए lamp-cloud का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

उनकी आधिकारिक सहायता चैनलों, जैसे उनकी वेबसाइट या GitHub रिपॉजिटरी के माध्यम से Dromara टीम से संपर्क करने का प्रयास करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें