UNKNOWNCVE-2018-25208
CVE-2018-25208: qdPM में SQL इंजेक्शन भेद्यता
प्लेटफ़ॉर्म
php
कॉम्पोनेन्ट
qdpm
CVE-2018-25208, qdPM 9.1 में मौजूद एक SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को filter_by पैरामीटर के माध्यम से SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे डेटाबेस जानकारी निकाली जा सकती है। प्रभावित संस्करण 9.1–9.1 हैं। अभी तक कोई आधिकारिक फिक्स उपलब्ध नहीं है।
कैसे ठीक करें
qdPM को 9.1 के बाद के संस्करण में अपडेट करें जो (SQL injection) भेद्यता को ठीक करता है। यदि कोई संस्करण उपलब्ध नहीं है, तो एक सुरक्षा पैच लागू करने की अनुशंसा की जाती है जो टाइमरिपोर्ट (timeReport) एंडपॉइंट में filter_by[CommentCreatedFrom] और filter_by[CommentCreatedTo] पैरामीटर के इनपुट को सही ढंग से फ़िल्टर और एस्केप करता है।
अक्सर पूछे जाने वाले सवाल
CVE-2018-25208 क्या है?
CVE-2018-25208 qdPM 9.1 में मौजूद एक SQL इंजेक्शन भेद्यता है, जो हमलावरों को डेटाबेस में SQL कोड इंजेक्ट करने की अनुमति देती है।
क्या मैं प्रभावित हूँ?
यदि आप qdPM 9.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं।
इसे कैसे ठीक करें?
अभी तक कोई आधिकारिक पैच उपलब्ध नहीं है। तब तक, अपने सिस्टम को सुरक्षित रखने के लिए इनपुट को मान्य करें और SQL इंजेक्शन से बचाव के लिए सुरक्षा उपाय अपनाएं।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें