मुफ्त स्कैन करें
MEDIUMCVE-2026-5987CVSS 4.7

Sanluan PublicCMS FreeMarker Template AbstractFreemarkerView.java AbstractFreemarkerView.doRender विशेष तत्वों का उपयोग टेम्पलेट इंजन में

प्लेटफ़ॉर्म

java

घटक

publiccms-parent-publiccms-core

में ठीक किया गया

4.0.202507

4.0.202507

5.202506.1

5.202506.1

5.202506.1

6.202506.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

Sanluan PublicCMS में एक सुरक्षा भेद्यता पाई गई है, जो विशेष रूप से FreeMarker टेम्पलेट हैंडलर के AbstractFreemarkerView.doRender फ़ंक्शन में मौजूद है। इस भेद्यता का शोषण करने से हमलावर टेम्पलेट इंजन में उपयोग किए जाने वाले विशेष तत्वों को ठीक से निष्क्रिय करने में विफल हो सकते हैं, जिससे संभावित रूप से दूरस्थ रूप से हमला किया जा सकता है। यह भेद्यता Sanluan PublicCMS के संस्करण 4.0.202506.a से 6.202506.d तक को प्रभावित करती है, और परियोजना को समस्या के बारे में सूचित किया गया है, लेकिन अभी तक कोई प्रतिक्रिया नहीं मिली है।

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

प्रभाव और हमले की स्थितियाँ

Sanluan PublicCMS के संस्करण 6.202506.d से पहले एक सुरक्षा भेद्यता का पता चला है। यह भेद्यता FreeMarker Template Handler घटक में AbstractFreemarkerView.doRender फ़ंक्शन को प्रभावित करती है, विशेष रूप से फ़ाइल publiccms-parent/publiccms-core/src/main/java/com/publiccms/common/base/AbstractFreemarkerView.java में। इस फ़ंक्शन में हेरफेर से टेम्पलेट इंजन में उपयोग किए गए विशेष तत्वों का अनुचित निष्क्रियकरण हो सकता है। यह एक हमलावर को टेम्पलेट्स के माध्यम से दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति दे सकता है, जिससे सिस्टम डेटा की अखंडता और गोपनीयता से समझौता हो सकता है। यह भेद्यता दूरस्थ रूप से शोषण योग्य है, जिसका अर्थ है कि एक हमलावर सर्वर तक सीधी पहुंच के बिना इसका शोषण कर सकता है। शोषण का सार्वजनिक प्रकटीकरण जोखिम को काफी बढ़ाता है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं द्वारा इसके उपयोग की सुविधा प्रदान करता है।

शोषण संदर्भ

यह भेद्यता PublicCMS FreeMarker टेम्पलेट्स को संभालने के तरीके में निहित है। एक हमलावर दुर्भावनापूर्ण टेम्पलेट्स बना सकता है जिसमें एस्केप सीक्वेंस या कमांड शामिल हैं जो सिस्टम द्वारा प्रस्तुत किए जाने पर, मनमाना कोड निष्पादित कर सकते हैं या संवेदनशील डेटा तक अनधिकृत पहुंच की अनुमति दे सकते हैं। शोषण का सार्वजनिक प्रकटीकरण कमजोर प्रणालियों को लक्षित करने वाले हमलों को बनाने में आसान बनाता है। हमलावर इस भेद्यता का उपयोग क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों, क्रॉस-साइट अनुरोध जालसाजी (CSRF) हमलों को करने या सर्वर पर पूर्ण नियंत्रण हासिल करने के लिए कर सकते हैं। इस भेद्यता की दूरस्थ प्रकृति इसे विशेष रूप से खतरनाक बनाती है, क्योंकि हमलावर इसे इंटरनेट एक्सेस वाले किसी भी स्थान से शोषण कर सकते हैं।

कौन जोखिम में हैअनुवाद हो रहा है…

Small to medium-sized businesses and organizations utilizing Sanluan PublicCMS for their websites or blogs are at significant risk. Those with legacy configurations or those who haven't implemented robust security practices are particularly vulnerable. Shared hosting environments using Sanluan PublicCMS are also at increased risk due to the potential for cross-site contamination.

पहचान के चरणअनुवाद हो रहा है…

• java / server:

find /var/log/ -name '*publiccms*' -mtime -7 | grep -i 'freemarker'

• generic web:

curl -I https://your-publiccms-site.com/ | grep -i 'Content-Type: text/html'

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.06% (18% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R4.7MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकpubliccms-parent-publiccms-core
विक्रेताSanluan
प्रभावित श्रेणीमें ठीक किया गया
4.0.202506.a – 4.0.202506.a4.0.202507
4.0.202506.b – 4.0.202506.b4.0.202507
5.202506.a – 5.202506.a5.202506.1
5.202506.b – 5.202506.b5.202506.1
5.202506.d – 5.202506.d5.202506.1
6.202506.d – 6.202506.d6.202506.1

कमजोरी वर्गीकरण (CWE)

CWE-1336CWE-791

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 45 दिन

शमन और वर्कअराउंड

वर्तमान में, Sanluan PublicCMS डेवलपर इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं करता है। सबसे तत्काल शमन उपाय PublicCMS के नवीनतम उपलब्ध संस्करण में अपडेट करना है, जैसे ही पैच जारी किया जाता है। इस बीच, अतिरिक्त सुरक्षा उपायों की सिफारिश की जाती है, जैसे AbstractFreemarkerView.doRender फ़ंक्शन तक पहुंच को प्रतिबंधित करना, कोड इंजेक्शन को रोकने के लिए टेम्पलेट इनपुट का सख्त सत्यापन लागू करना और सिस्टम लॉग की निगरानी संदिग्ध गतिविधि के लिए करना। सफल शोषण के संभावित प्रभाव को कम करने के लिए सर्वर सुरक्षा नीतियों की समीक्षा और मजबूत करना भी महत्वपूर्ण है। दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a una versión corregida de Sanluan PublicCMS.  Dado que el proveedor no ha respondido, se recomienda evaluar alternativas o aplicar parches personalizados con precaución.  Revise la configuración del FreeMarker Template Handler para mitigar posibles ataques de inyección de plantillas.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-5987 क्या है — Sanluan PublicCMS में?

FreeMarker एक लोकप्रिय टेम्पलेट इंजन है जिसका उपयोग वेब पेज जैसे गतिशील सामग्री उत्पन्न करने के लिए किया जाता है।

क्या मैं Sanluan PublicCMS में CVE-2026-5987 से प्रभावित हूं?

इसका मतलब है कि सिस्टम टेम्पलेट्स में विशेष वर्णों को ठीक से एस्केप या मान्य नहीं करता है, जिससे एक हमलावर दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है।

Sanluan PublicCMS में CVE-2026-5987 को कैसे ठीक करें?

यदि आप PublicCMS के 6.202506.d से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। संदिग्ध गतिविधि के लिए सिस्टम लॉग की जांच करें।

क्या CVE-2026-5987 का सक्रिय रूप से शोषण किया जा रहा है?

सिस्टम को नेटवर्क से अलग करें, एक व्यापक सुरक्षा ऑडिट करें और साफ बैकअप से पुनर्स्थापित करने पर विचार करें।

CVE-2026-5987 के लिए Sanluan PublicCMS का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस और अन्य सुरक्षा संसाधनों में CVE-2026-5987 के बारे में अधिक जानकारी पा सकते हैं।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें