प्लेटफ़ॉर्म
javascript
घटक
mdwiki
CVE-2017-20239 MDwiki सॉफ़्टवेयर में एक सुरक्षा भेद्यता है, जो एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को स्थान हैश पैरामीटर के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है, जिससे वे पीड़ित के ब्राउज़र संदर्भ में स्क्रिप्ट निष्पादित कर सकते हैं। यह भेद्यता MDwiki संस्करण 0.6.2 को प्रभावित करती है, और वर्तमान में कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2017-20239 MDwiki को प्रभावित करता है, जिससे उपयोगकर्ता क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता के प्रति उजागर होते हैं। यह दूरस्थ हमलावरों को पीड़ित के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देता है। समस्या MDwiki द्वारा 'location hash' पैरामीटर को संभालने के तरीके में निहित है। हमलावर URL के हैश फ्रैगमेंट (#) के भीतर जावास्क्रिप्ट कोड को एम्बेड करके विशेष रूप से डिज़ाइन किए गए URL बना सकते हैं। MDwiki उचित सत्यापन या सैनिटाइजेशन के बिना इस कोड की व्याख्या और निष्पादित करता है, जिससे उपयोगकर्ता सुरक्षा से समझौता होता है। इससे कुकीज़ की चोरी, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट या वेब पेज की सामग्री में संशोधन हो सकता है, जिससे डेटा अखंडता और गोपनीयता प्रभावित होती है। ज्ञात फिक्स (fix) की अनुपस्थिति स्थिति को बढ़ा देती है, जिसके लिए सावधानीपूर्वक मूल्यांकन और निवारक उपायों की आवश्यकता होती है।
MDwiki में CVE-2017-20239 भेद्यता URL में 'location hash' पैरामीटर के हेरफेर के माध्यम से शोषण की जाती है। एक हमलावर हैश फ्रैगमेंट (
Organizations using MDwiki for internal documentation, knowledge bases, or other web-based content are at risk. Specifically, environments where MDwiki is accessible from external networks or where user input is not properly sanitized are particularly vulnerable. Shared hosting environments where multiple users share the same MDwiki instance also increase the risk of exploitation.
• javascript / generic web:
// Check for unusual JavaScript code in the URL hash
const hash = window.location.hash;
if (hash.includes("<script>alert(\");")) {
console.warn("Potential XSS vulnerability detected in URL hash");
}• generic web:
# Check access logs for URLs containing suspicious JavaScript in the hash
grep -i 'location.hash=[^#]*<script>' access.logएक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि CVE-2017-20239 के लिए MDwiki में कोई आधिकारिक फिक्स नहीं है, इसलिए शमन निवारक और जोखिम-शमन उपायों पर केंद्रित है। समाधान लागू होने तक MDwiki के उपयोग से बचना दृढ़ता से अनुशंसित है। यदि उपयोग अपरिहार्य है, तो एक सख्त वेब सुरक्षा नीति लागू करें, जिसमें URL से संबंधित सभी उपयोगकर्ता इनपुट का सत्यापन और सैनिटाइजेशन शामिल है। संदिग्ध लिंक या असामान्य हैश फ्रैगमेंट वाले URL पर क्लिक करने के जोखिमों के बारे में उपयोगकर्ताओं को शिक्षित करें। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से निष्पादित किए जा सकने वाले जावास्क्रिप्ट स्रोतों को प्रतिबंधित करने में मदद मिल सकती है, जिससे XSS हमले का प्रभाव कम हो जाता है। संदिग्ध पैटर्न के लिए नेटवर्क ट्रैफ़िक की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकती है।
Actualizar MDwiki a una versión corregida. La vulnerabilidad se encuentra en la forma en que se maneja el parámetro de hash de ubicación, por lo que la actualización debería mitigar el riesgo de inyección de scripts entre sitios (XSS).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
यदि आप MDwiki का उपयोग करते हैं, तो आप संभवतः प्रभावित हैं। असामान्य व्यवहार या अनधिकृत परिवर्तनों के लिए अपनी वेबसाइट की निगरानी करें।
हां, MDwiki की तुलना में अधिक सुरक्षा और निरंतर समर्थन प्रदान करने वाले कई विकल्प हैं। MDwiki का उपयोग जारी रखने से पहले वैकल्पिक विकल्पों पर शोध करें।
CSP (कंटेंट सिक्योरिटी पॉलिसी) एक सुरक्षा परत है जो ब्राउज़र द्वारा लोड किए जा सकने वाले सामग्री स्रोतों को नियंत्रित करके XSS हमलों को रोकने में मदद करती है।
तुरंत अपने पासवर्ड बदलें, अनधिकृत संशोधनों के लिए अपनी वेबसाइट की जांच करें और पूरी तरह से मूल्यांकन के लिए सुरक्षा विशेषज्ञ से परामर्श करने पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।