मुफ्त स्कैन करें
MEDIUMCVE-2017-20239CVSS 6.1

MDwiki लोकेशन हैश पैरामीटर के माध्यम से क्रॉस-साइट स्क्रिप्टिंग

प्लेटफ़ॉर्म

javascript

घटक

mdwiki

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2017-20239 MDwiki सॉफ़्टवेयर में एक सुरक्षा भेद्यता है, जो एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को स्थान हैश पैरामीटर के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है, जिससे वे पीड़ित के ब्राउज़र संदर्भ में स्क्रिप्ट निष्पादित कर सकते हैं। यह भेद्यता MDwiki संस्करण 0.6.2 को प्रभावित करती है, और वर्तमान में कोई आधिकारिक पैच उपलब्ध नहीं है।

प्रभाव और हमले की स्थितियाँ

CVE-2017-20239 MDwiki को प्रभावित करता है, जिससे उपयोगकर्ता क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता के प्रति उजागर होते हैं। यह दूरस्थ हमलावरों को पीड़ित के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देता है। समस्या MDwiki द्वारा 'location hash' पैरामीटर को संभालने के तरीके में निहित है। हमलावर URL के हैश फ्रैगमेंट (#) के भीतर जावास्क्रिप्ट कोड को एम्बेड करके विशेष रूप से डिज़ाइन किए गए URL बना सकते हैं। MDwiki उचित सत्यापन या सैनिटाइजेशन के बिना इस कोड की व्याख्या और निष्पादित करता है, जिससे उपयोगकर्ता सुरक्षा से समझौता होता है। इससे कुकीज़ की चोरी, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट या वेब पेज की सामग्री में संशोधन हो सकता है, जिससे डेटा अखंडता और गोपनीयता प्रभावित होती है। ज्ञात फिक्स (fix) की अनुपस्थिति स्थिति को बढ़ा देती है, जिसके लिए सावधानीपूर्वक मूल्यांकन और निवारक उपायों की आवश्यकता होती है।

शोषण संदर्भ

MDwiki में CVE-2017-20239 भेद्यता URL में 'location hash' पैरामीटर के हेरफेर के माध्यम से शोषण की जाती है। एक हमलावर हैश फ्रैगमेंट (

प्रतीक के बाद) के भीतर जावास्क्रिप्ट कोड युक्त एक दुर्भावनापूर्ण लिंक बना सकता है। इस लिंक पर क्लिक करने से पीड़ित के ब्राउज़र MDwiki पेज लोड होगा और इंजेक्टेड जावास्क्रिप्ट कोड निष्पादित होगा। कोड उपयोगकर्ता के संदर्भ में निष्पादित होता है, जिससे हमलावर संवेदनशील जानकारी, जैसे सत्र कुकीज़ तक पहुंच प्राप्त कर सकता है, या उपयोगकर्ता की ओर से कार्रवाई कर सकता है। शोषण की सरलता इस भेद्यता को विशेष रूप से खतरनाक बनाती है, क्योंकि हमलों को ईमेल, सोशल मीडिया या समझौता किए गए वेबसाइटों के माध्यम से आसानी से फैलाया जा सकता है। MDwiki में सत्यापन की कमी दुर्भावनापूर्ण कोड इंजेक्शन को आसान बनाती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using MDwiki for internal documentation, knowledge bases, or other web-based content are at risk. Specifically, environments where MDwiki is accessible from external networks or where user input is not properly sanitized are particularly vulnerable. Shared hosting environments where multiple users share the same MDwiki instance also increase the risk of exploitation.

पहचान के चरणअनुवाद हो रहा है…

• javascript / generic web:

// Check for unusual JavaScript code in the URL hash
const hash = window.location.hash;
if (hash.includes("<script>alert(\");")) {
  console.warn("Potential XSS vulnerability detected in URL hash");
}

• generic web:

# Check access logs for URLs containing suspicious JavaScript in the hash
grep -i 'location.hash=[^#]*<script>' access.log

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.03% (9% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकmdwiki
विक्रेताDynalon
प्रभावित श्रेणीमें ठीक किया गया
0.6.2 – 0.6.2

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 42 दिन

शमन और वर्कअराउंड

चूंकि CVE-2017-20239 के लिए MDwiki में कोई आधिकारिक फिक्स नहीं है, इसलिए शमन निवारक और जोखिम-शमन उपायों पर केंद्रित है। समाधान लागू होने तक MDwiki के उपयोग से बचना दृढ़ता से अनुशंसित है। यदि उपयोग अपरिहार्य है, तो एक सख्त वेब सुरक्षा नीति लागू करें, जिसमें URL से संबंधित सभी उपयोगकर्ता इनपुट का सत्यापन और सैनिटाइजेशन शामिल है। संदिग्ध लिंक या असामान्य हैश फ्रैगमेंट वाले URL पर क्लिक करने के जोखिमों के बारे में उपयोगकर्ताओं को शिक्षित करें। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से निष्पादित किए जा सकने वाले जावास्क्रिप्ट स्रोतों को प्रतिबंधित करने में मदद मिल सकती है, जिससे XSS हमले का प्रभाव कम हो जाता है। संदिग्ध पैटर्न के लिए नेटवर्क ट्रैफ़िक की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकती है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualizar MDwiki a una versión corregida.  La vulnerabilidad se encuentra en la forma en que se maneja el parámetro de hash de ubicación, por lo que se recomienda validar y escapar la entrada del usuario para prevenir la ejecución de código malicioso.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2017-20239 क्या है — MDwiki में Cross-Site Scripting (XSS)?

XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।

क्या मैं MDwiki में CVE-2017-20239 से प्रभावित हूं?

यदि आप MDwiki का उपयोग करते हैं, तो आप संभवतः प्रभावित हैं। असामान्य व्यवहार या अनधिकृत परिवर्तनों के लिए अपनी वेबसाइट की निगरानी करें।

MDwiki में CVE-2017-20239 को कैसे ठीक करें?

हां, MDwiki की तुलना में अधिक सुरक्षा और निरंतर समर्थन प्रदान करने वाले कई विकल्प हैं। MDwiki का उपयोग जारी रखने से पहले वैकल्पिक विकल्पों पर शोध करें।

क्या CVE-2017-20239 का सक्रिय रूप से शोषण किया जा रहा है?

CSP (कंटेंट सिक्योरिटी पॉलिसी) एक सुरक्षा परत है जो ब्राउज़र द्वारा लोड किए जा सकने वाले सामग्री स्रोतों को नियंत्रित करके XSS हमलों को रोकने में मदद करती है।

CVE-2017-20239 के लिए MDwiki का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

तुरंत अपने पासवर्ड बदलें, अनधिकृत संशोधनों के लिए अपनी वेबसाइट की जांच करें और पूरी तरह से मूल्यांकन के लिए सुरक्षा विशेषज्ञ से परामर्श करने पर विचार करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें