मुफ्त स्कैन करें
HIGHCVE-2018-25209CVSS 8.2

OpenBiz Cubi Lite 3.0.8 username पैरामीटर के माध्यम से (SQL Injection)

प्लेटफ़ॉर्म

php

घटक

openbiz-cubi-lite

में ठीक किया गया

3.0.9

AI Confidence: highNVDEPSS 0.3%समीक्षित: मार्च 2026
NVD पर देखें
सहेजें

CVE-2018-25209, OpenBiz Cubi Lite 3.0.8 में मौजूद एक SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को username पैरामीटर के माध्यम से SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे डेटाबेस जानकारी निकाली जा सकती है या प्रमाणीकरण को बायपास किया जा सकता है। प्रभावित संस्करण 3.0.8–v3.0.8 हैं। अभी तक कोई आधिकारिक फिक्स उपलब्ध नहीं है।

प्रभाव और हमले की स्थितियाँ

OpenBiz Cubi Lite 3.0.8 में CVE-2018-25209 कमजोरियाँ लॉगिन फॉर्म में SQL इंजेक्शन कमजोरियों के कारण एक महत्वपूर्ण जोखिम पैदा करती हैं। एक अनधिकृत हमलावर /bin/controller.php पर POST अनुरोध भेजकर और 'username' पैरामीटर में दुर्भावनापूर्ण SQL कोड डालकर इस दोष का फायदा उठा सकता है। यह डेटाबेस प्रश्नों में हेरफेर करने की अनुमति देता है, जिससे उपयोगकर्ता क्रेडेंशियल, ग्राहक डेटा या कॉन्फ़िगरेशन विवरण जैसे संवेदनशील जानकारी निकालने की संभावना है। सबसे खराब स्थिति में, एक हमलावर डेटाबेस पर नियंत्रण कर सकता है और सिस्टम की अखंडता को खतरे में डाल सकता है। आधिकारिक फिक्स (पैच) की अनुपस्थिति स्थिति को बढ़ा देती है, और सुधारात्मक उपाय लागू होने तक उपयोगकर्ताओं को कमजोर छोड़ देती है।

शोषण संदर्भ

यह कमजोरियों का फायदा /bin/controller.php को लक्षित करने वाले POST अनुरोध में 'username' पैरामीटर के हेरफेर के माध्यम से उठाया जाता है। एक हमलावर इस फ़ील्ड में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है, जिसे तब डेटाबेस के खिलाफ निष्पादित किया जाता है। उचित इनपुट सत्यापन की कमी के कारण, SQL कोड को टेक्स्ट स्ट्रिंग के बजाय क्वेरी के हिस्से के रूप में व्याख्यायित किया जाता है। यह कमजोरियाँ विशेष रूप से खतरनाक है क्योंकि इसके लिए प्रमाणीकरण की आवश्यकता नहीं होती है, जिसका अर्थ है कि नेटवर्क एक्सेस करने वाला कोई भी व्यक्ति इसका फायदा उठाने का प्रयास कर सकता है। शोषण की सादगी इसे विभिन्न कौशल स्तरों के हमलावरों के लिए एक आकर्षक लक्ष्य बनाती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.27% (50% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N8.2HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकopenbiz-cubi-lite
विक्रेताSourceforge
प्रभावित श्रेणीमें ठीक किया गया
v3.0.8 – v3.0.83.0.9

कमजोरी वर्गीकरण (CWE)

CWE-89

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन
बिना पैच — प्रकाशन से 59 दिन

शमन और वर्कअराउंड

OpenBiz Cubi Lite डेवलपर से आधिकारिक पैच की कमी को देखते हुए, CVE-2018-25209 को कम करने के लिए एक सक्रिय दृष्टिकोण की आवश्यकता है। यदि संभव हो तो, सॉफ्टवेयर के नवीनतम संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो अतिरिक्त सुरक्षा उपाय किए जाने चाहिए, जैसे लॉगिन फॉर्म में सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और सैनिटाइजेशन। वेब एप्लिकेशन फ़ायरवॉल (WAF) को तैनात करने से SQL इंजेक्शन हमलों का पता लगाने और उन्हें ब्लॉक करने में मदद मिल सकती है। इसके अतिरिक्त, डेटाबेस एक्सेस को प्रतिबंधित किया जाना चाहिए, और किसी भी संदिग्ध गतिविधि की निगरानी की जानी चाहिए। कमजोरियों के लिए कोड का नियमित ऑडिट भी महत्वपूर्ण है।

कैसे ठीक करें

OpenBiz Cubi Lite को 3.0.8 के बाद के संस्करण में अपडेट करें जो (SQL injection) भेद्यता को ठीक करता है। यदि कोई संस्करण उपलब्ध नहीं है, तो समाधान प्रकाशित होने तक सॉफ़्टवेयर को अक्षम या हटाने की अनुशंसा की जाती है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2018-25209 क्या है — OpenBiz Cubi Lite में SQL Injection?

यह OpenBiz Cubi Lite में एक विशिष्ट सुरक्षा कमजोरियों के लिए एक अनूठा पहचानकर्ता है।

क्या मैं OpenBiz Cubi Lite में CVE-2018-25209 से प्रभावित हूं?

यदि आप OpenBiz Cubi Lite संस्करण 3.0.8 का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं।

OpenBiz Cubi Lite में CVE-2018-25209 को कैसे ठीक करें?

वर्तमान में, डेवलपर से कोई आधिकारिक फिक्स प्रदान नहीं किया गया है।

क्या CVE-2018-25209 का सक्रिय रूप से शोषण किया जा रहा है?

यह एक हमला तकनीक है जो हमलावरों को डेटाबेस प्रश्नों में हेरफेर करने की अनुमति देती है।

CVE-2018-25209 के लिए OpenBiz Cubi Lite का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

इनपुट सत्यापन, WAF और गतिविधि निगरानी जैसे अतिरिक्त सुरक्षा उपाय लागू करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें