Contact/query addressBookIds फ़िल्टर में प्रमाणित SQL इंजेक्शन (SQL Injection)
प्लेटफ़ॉर्म
php
कॉम्पोनेन्ट
groupoffice
ठीक किया गया
6.8.158
Group-Office एक एंटरप्राइज़ ग्राहक संबंध प्रबंधन और ग्रुपवेयर टूल है। संस्करण 6.8.158, 25.0.92, और 26.0.17 से पहले, JMAP `Contact/query` एंडपॉइंट में एक प्रमाणित SQL इंजेक्शन (SQL Injection) भेद्यता किसी भी प्रमाणित उपयोगकर्ता को बुनियादी एड्रेसबुक एक्सेस के साथ डेटाबेस से मनमाना डेटा निकालने की अनुमति देती है - जिसमें अन्य उपयोगकर्ताओं के सक्रिय सत्र टोकन भी शामिल हैं। यह सिस्टम एडमिनिस्ट्रेटर सहित किसी भी उपयोगकर्ता के खाते को उनके पासवर्ड को जाने बिना पूरी तरह से अपने कब्जे में लेने में सक्षम बनाता है। संस्करण 6.8.158, 25.0.92, और 26.0.17 इस समस्या को ठीक करते हैं।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें