मुफ्त स्कैन करें
LOWCVE-2024-1247CVSS 2

GHSA-955r-x9j8-7rhh: Picklescan RCE Vulnerability ≤0.0.9

प्लेटफ़ॉर्म

php

घटक

concretecms

में ठीक किया गया

9.2.5

AI Confidence: highNVDEPSS 8.2%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें

CVE-2024-1247 Picklescan लाइब्रेरी में एक गंभीर भेद्यता है जो रिमोट कोड एग्जीक्यूशन (RCE) की अनुमति देती है। यह भेद्यता _operator.methodcaller फ़ंक्शन के असुरक्षित उपयोग के कारण होती है, जिससे हमलावर दुर्भावनापूर्ण पिकल फ़ाइलों को निष्पादित कर सकते हैं। यह भेद्यता Picklescan के संस्करण 0.0.9 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 0.0.34 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

CVE-2024-1247 Concrete CMS के 9.2.5 से पहले के संस्करणों को प्रभावित करता है, जिससे संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता उत्पन्न होती है। यह भेद्यता उपयोगकर्ता भूमिका प्रबंधन में “भूमिका नाम” फ़ील्ड में मौजूद है। एक दुर्भावनापूर्ण व्यवस्थापक इस फ़ील्ड में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जो तब निष्पादित होगा जब अन्य उपयोगकर्ता प्रभावित पृष्ठों पर जाएँगे। इस समस्या की गंभीरता मध्यम है, क्योंकि इसका शोषण करने के लिए व्यवस्थापक विशेषाधिकारों की आवश्यकता होती है, लेकिन इसका प्रभाव अन्य उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट के निष्पादन का कारण बन सकता है, जिससे जानकारी की गोपनीयता और अखंडता से समझौता हो सकता है। इस जोखिम को कम करने के लिए 9.2.5 या उच्चतर संस्करण में अपग्रेड करना महत्वपूर्ण है। 9 से पहले के संस्करण प्रभावित नहीं हैं।

शोषण संदर्भ

यह भेद्यता भूमिका प्रबंधन में “भूमिका नाम” फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करके शोषण किया जाता है। एक व्यवस्थापक व्यवस्थापन पैनल तक पहुँचकर इस फ़ील्ड को संशोधित कर सकता है और दुर्भावनापूर्ण कोड के साथ भूमिका को सहेज सकता है। जब कोई उपयोगकर्ता (या भूमिका बनाने वाला व्यवस्थापक) उस पृष्ठ पर जाता है जहाँ भूमिका का नाम प्रदर्शित होता है, तो जावास्क्रिप्ट कोड उपयोगकर्ता के ब्राउज़र संदर्भ में निष्पादित होता है, जिससे हमलावर कुकीज़ चुराने, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या पृष्ठ की सामग्री को संशोधित करने जैसे कार्य कर सकता है। शोषण की जटिलता मध्यम है, क्योंकि इसके लिए व्यवस्थापक विशेषाधिकारों की आवश्यकता होती है, लेकिन प्रभाव महत्वपूर्ण हो सकता है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

8.20% (92% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N2.0LOWAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकconcretecms
विक्रेताConcrete CMS
प्रभावित श्रेणीमें ठीक किया गया
9.0.0 – 9.2.59.2.5

कमजोरी वर्गीकरण (CWE)

CWE-20

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2024-1247 के लिए समाधान सरल है: Concrete CMS को 9.2.5 या उच्चतर संस्करण में अपग्रेड करें। इस अपडेट में “भूमिका नाम” फ़ील्ड में दर्ज किए गए डेटा को सही ढंग से मान्य करने के लिए आवश्यक फिक्स शामिल हैं, जिससे दुर्भावनापूर्ण कोड का इंजेक्शन रोका जा सकेगा। विशेष रूप से उत्पादन वातावरण में, इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, मौजूदा उपयोगकर्ता भूमिकाओं की जाँच करें ताकि यह सुनिश्चित किया जा सके कि कोई भूमिका नाम समझौता नहीं किया गया है। किसी भी CMS प्रणाली की सुरक्षा बनाए रखने के लिए नियमित रूप से सुरक्षा पैच लागू करना एक मूलभूत अभ्यास है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Concrete CMS a la versión 9.2.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en el campo 'Role Name'. La actualización se puede realizar a través del panel de administración de Concrete CMS o descargando la última versión del sitio web oficial.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2024-1247 क्या है — Concrete CMS में XSS?

XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।

क्या मैं Concrete CMS में CVE-2024-1247 से प्रभावित हूं?

संग्रहीत (या स्थायी) XSS का अर्थ है कि दुर्भावनापूर्ण स्क्रिप्ट सर्वर (जैसे, डेटाबेस में) संग्रहीत है और प्रत्येक बार जब कोई उपयोगकर्ता प्रभावित पृष्ठ पर जाता है तो यह निष्पादित होता है।

Concrete CMS में CVE-2024-1247 को कैसे ठीक करें?

यदि आप Concrete CMS के 9.2.5 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपकी वेबसाइट में भेद्यता है। कृपया जल्द से जल्द अपडेट करें।

क्या CVE-2024-1247 का सक्रिय रूप से शोषण किया जा रहा है?

यदि आपको संदेह है कि आपकी वेबसाइट से समझौता किया गया है, तो तुरंत सभी व्यवस्थापकों के पासवर्ड बदलें और व्यापक सुरक्षा ऑडिट करें।

CVE-2024-1247 के लिए Concrete CMS का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

अपडेट के अलावा, मजबूत सुरक्षा नीतियों को लागू करें, व्यवस्थापकों को सुरक्षा सर्वोत्तम प्रथाओं के बारे में शिक्षित करें और हमलों का पता लगाने और रोकने के लिए सुरक्षा उपकरणों का उपयोग करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें