CI4MS: मेथड्स मैनेजमेंट फुल अकाउंट टेकओवर सभी भूमिकाओं और विशेषाधिकार वृद्धि के लिए संग्रहीत DOM XSS के माध्यम से
प्लेटफ़ॉर्म
codeigniter
कॉम्पोनेन्ट
ci4ms
ठीक किया गया
0.31.0.0
CI4MS एक CodeIgniter 4-आधारित CMS कंकाल है जो RBAC प्राधिकरण और थीम समर्थन के साथ एक उत्पादन-तैयार, मॉड्यूलर आर्किटेक्चर प्रदान करता है। संस्करण 0.31.0.0 से पहले, एप्लिकेशन एप्लिकेशन विधियों/पृष्ठों को बनाते या प्रबंधित करते समय मेथड्स मैनेजमेंट कार्यक्षमता के भीतर उपयोगकर्ता-नियंत्रित इनपुट को ठीक से साफ़ करने में विफल रहता है। एकाधिक इनपुट फ़ील्ड हमलावर-नियंत्रित जावास्क्रिप्ट (JavaScript) पेलोड स्वीकार करते हैं जो सैनिटाइजेशन या आउटपुट एन्कोडिंग के बिना सर्वर-साइड संग्रहीत होते हैं। ये संग्रहीत मान बाद में उचित एन्कोडिंग के बिना सीधे प्रशासनिक इंटरफेस और वैश्विक नेविगेशन घटकों में प्रस्तुत किए जाते हैं, जिसके परिणामस्वरूप संग्रहीत DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) होती है। इस समस्या को संस्करण 0.31.0.0 में ठीक कर दिया गया है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें