मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2024-3090

CVE-2024-3090: XSS in Emergency Ambulance Hiring Portal

प्लेटफ़ॉर्म

php

घटक

open-source-vulnerabilities

में ठीक किया गया

1.0.1

NVD पर देखें
सहेजें

PHPGurukul Emergency Ambulance Hiring Portal के संस्करण 1.0 और 1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता /admin/add-ambulance.php फ़ाइल में अज्ञात प्रोसेसिंग के कारण होती है, जहाँ Ambulance Reg No/Driver Name जैसे तर्क में हेरफेर करके हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। प्रभावित संस्करणों में 1.0–1.0 शामिल हैं, और इसे संस्करण 1.0.1 में ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

यह XSS भेद्यता हमलावर को पीड़ित उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है। हमलावर संवेदनशील जानकारी चुरा सकता है, जैसे कि उपयोगकर्ता क्रेडेंशियल या सत्र कुकीज़। वे उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट भी कर सकते हैं या उपयोगकर्ता के ब्राउज़र में अनधिकृत क्रियाएं कर सकते हैं। चूंकि भेद्यता दूर से शोषण योग्य है, इसलिए यह सभी उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम पैदा करती है जो पोर्टल का उपयोग करते हैं। इस भेद्यता का शोषण करने से डेटा उल्लंघन और सिस्टम समझौता हो सकता है।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से उजागर हो गई है और इसका शोषण किया जा सकता है। KEV या EPSS स्कोर उपलब्ध नहीं है। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है। हमलावरों द्वारा सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की सार्वजनिक प्रकृति के कारण इसका शोषण होने की संभावना है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.09% (26% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N2.4LOWAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकopen-source-vulnerabilities
विक्रेताPHPGurukul
न्यूनतम संस्करण1.0
अधिकतम संस्करण1.0
में ठीक किया गया1.0.1

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. Reserved
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, तत्काल संस्करण 1.0.1 में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करें। यह सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है। इसके अतिरिक्त, पोर्टल के लॉग की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक बुनियादी XSS परीक्षण करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el Emergency Ambulance Hiring Portal a una versión parcheada que solucione la vulnerabilidad XSS. Si no hay una versión disponible, filtre y escape las entradas del usuario en el archivo /admin/add-ambulance.php, especialmente los campos 'Ambulance Reg No' y 'Driver Name', para evitar la inyección de código malicioso.

अक्सर पूछे जाने वाले सवाल

CVE-2024-3090 — XSS Emergency Ambulance Hiring Portal में क्या है?

CVE-2024-3090 PHPGurukul Emergency Ambulance Hiring Portal के संस्करण 1.0–1.0 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।

क्या मैं CVE-2024-3090 में Emergency Ambulance Hiring Portal से प्रभावित हूँ?

यदि आप PHPGurukul Emergency Ambulance Hiring Portal के संस्करण 1.0–1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2024-3090 में Emergency Ambulance Hiring Portal को कैसे ठीक करूँ?

इस भेद्यता को ठीक करने के लिए, तत्काल संस्करण 1.0.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके इनपुट सत्यापन लागू करें।

क्या CVE-2024-3090 सक्रिय रूप से शोषण किया जा रहा है?

भेद्यता सार्वजनिक रूप से उजागर हो गई है और इसका शोषण किया जा सकता है, लेकिन सक्रिय शोषण अभियान की कोई जानकारी नहीं है।

मैं CVE-2024-3090 के लिए Emergency Ambulance Hiring Portal के आधिकारिक सलाहकार को कहाँ पा सकता हूँ?

कृपया PHPGurukul की वेबसाइट या NVD डेटाबेस पर आधिकारिक सलाहकार की जांच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...