CI4MS: अनुमतियाँ प्रबंधन सभी भूमिकाओं के लिए पूर्ण खाता अधिग्रहण और संग्रहीत DOM XSS के माध्यम से विशेषाधिकार-वृद्धि
प्लेटफ़ॉर्म
codeigniter
कॉम्पोनेन्ट
ci4ms
ठीक किया गया
0.31.0.0
CI4MS एक CodeIgniter 4-आधारित CMS ढांचा है जो RBAC प्राधिकरण और थीम समर्थन के साथ एक उत्पादन-तैयार, मॉड्यूलर आर्किटेक्चर प्रदान करता है। संस्करण 0.31.0.0 से पहले, एप्लिकेशन समूह और भूमिका प्रबंधन कार्यक्षमता के भीतर उपयोगकर्ता-नियंत्रित इनपुट को ठीक से साफ़ करने में विफल रहता है। कई इनपुट फ़ील्ड (तीन अलग-अलग समूह-संबंधित फ़ील्ड) में दुर्भावनापूर्ण जावास्क्रिप्ट पेलोड इंजेक्ट किए जा सकते हैं, जो तब सर्वर-साइड पर संग्रहीत होते हैं। ये संग्रहीत पेलोड बाद में उचित आउटपुट एन्कोडिंग के बिना विशेषाधिकार प्राप्त प्रशासनिक दृश्यों के भीतर असुरक्षित रूप से प्रस्तुत किए जाते हैं, जिससे भूमिका और अनुमति प्रबंधन संदर्भ के भीतर संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) होती है। इस समस्या को संस्करण 0.31.0.0 में ठीक कर दिया गया है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें