च्यरप लाइट में पोस्ट मॉडल में मास असाइनमेंट के माध्यम से एक IDOR (IDOR via Mass Assignment) मौजूद है
प्लेटफ़ॉर्म
php
कॉम्पोनेन्ट
chyrp-lite
ठीक किया गया
2026.01
च्यरप लाइट एक अल्ट्रा-लाइटवेट ब्लॉगिंग इंजन है। 2026.01 से पहले, पोस्ट मॉडल में एक IDOR / मास असाइनमेंट मुद्दा मौजूद है जो प्रमाणित उपयोगकर्ताओं को पोस्ट संपादन अनुमतियों (एडिट पोस्ट, एडिट ड्राफ्ट, एडिट ओन पोस्ट, एडिट ओन ड्राफ्ट) के साथ अपने स्वामित्व वाली पोस्ट को संशोधित करने की अनुमति देता है और जिन्हें वे संपादित करने की अनुमति नहीं रखते हैं। आंतरिक क्लास प्रॉपर्टीज जैसे कि id को पोस्ट_एट्रीब्यूट्स पेलोड में पास करके, एक हमलावर उस ऑब्जेक्ट को बदल सकता है जिसे इंस्टेंट किया जा रहा है। परिणामस्वरूप, हमलावर की अपनी पोस्ट के बजाय किसी अन्य उपयोगकर्ता की पोस्ट पर आगे की कार्रवाई की जाती है, प्रभावी रूप से पोस्ट टेकओवर को सक्षम करता है। यह भेद्यता 2026.01 में ठीक की गई है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें