प्लेटफ़ॉर्म
php
घटक
openbiz-cubi-lite
में ठीक किया गया
3.0.9
CVE-2018-25209, OpenBiz Cubi Lite 3.0.8 में मौजूद एक SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को username पैरामीटर के माध्यम से SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे डेटाबेस जानकारी निकाली जा सकती है या प्रमाणीकरण को बायपास किया जा सकता है। प्रभावित संस्करण 3.0.8–v3.0.8 हैं। अभी तक कोई आधिकारिक फिक्स उपलब्ध नहीं है।
OpenBiz Cubi Lite 3.0.8 में CVE-2018-25209 कमजोरियाँ लॉगिन फॉर्म में SQL इंजेक्शन कमजोरियों के कारण एक महत्वपूर्ण जोखिम पैदा करती हैं। एक अनधिकृत हमलावर /bin/controller.php पर POST अनुरोध भेजकर और 'username' पैरामीटर में दुर्भावनापूर्ण SQL कोड डालकर इस दोष का फायदा उठा सकता है। यह डेटाबेस प्रश्नों में हेरफेर करने की अनुमति देता है, जिससे उपयोगकर्ता क्रेडेंशियल, ग्राहक डेटा या कॉन्फ़िगरेशन विवरण जैसे संवेदनशील जानकारी निकालने की संभावना है। सबसे खराब स्थिति में, एक हमलावर डेटाबेस पर नियंत्रण कर सकता है और सिस्टम की अखंडता को खतरे में डाल सकता है। आधिकारिक फिक्स (पैच) की अनुपस्थिति स्थिति को बढ़ा देती है, और सुधारात्मक उपाय लागू होने तक उपयोगकर्ताओं को कमजोर छोड़ देती है।
यह कमजोरियों का फायदा /bin/controller.php को लक्षित करने वाले POST अनुरोध में 'username' पैरामीटर के हेरफेर के माध्यम से उठाया जाता है। एक हमलावर इस फ़ील्ड में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है, जिसे तब डेटाबेस के खिलाफ निष्पादित किया जाता है। उचित इनपुट सत्यापन की कमी के कारण, SQL कोड को टेक्स्ट स्ट्रिंग के बजाय क्वेरी के हिस्से के रूप में व्याख्यायित किया जाता है। यह कमजोरियाँ विशेष रूप से खतरनाक है क्योंकि इसके लिए प्रमाणीकरण की आवश्यकता नहीं होती है, जिसका अर्थ है कि नेटवर्क एक्सेस करने वाला कोई भी व्यक्ति इसका फायदा उठाने का प्रयास कर सकता है। शोषण की सादगी इसे विभिन्न कौशल स्तरों के हमलावरों के लिए एक आकर्षक लक्ष्य बनाती है।
एक्सप्लॉइट स्थिति
EPSS
0.27% (50% शतमक)
CISA SSVC
CVSS वेक्टर
OpenBiz Cubi Lite डेवलपर से आधिकारिक पैच की कमी को देखते हुए, CVE-2018-25209 को कम करने के लिए एक सक्रिय दृष्टिकोण की आवश्यकता है। यदि संभव हो तो, सॉफ्टवेयर के नवीनतम संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो अतिरिक्त सुरक्षा उपाय किए जाने चाहिए, जैसे लॉगिन फॉर्म में सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और सैनिटाइजेशन। वेब एप्लिकेशन फ़ायरवॉल (WAF) को तैनात करने से SQL इंजेक्शन हमलों का पता लगाने और उन्हें ब्लॉक करने में मदद मिल सकती है। इसके अतिरिक्त, डेटाबेस एक्सेस को प्रतिबंधित किया जाना चाहिए, और किसी भी संदिग्ध गतिविधि की निगरानी की जानी चाहिए। कमजोरियों के लिए कोड का नियमित ऑडिट भी महत्वपूर्ण है।
OpenBiz Cubi Lite को 3.0.8 के बाद के संस्करण में अपडेट करें जो (SQL injection) भेद्यता को ठीक करता है। यदि कोई संस्करण उपलब्ध नहीं है, तो समाधान प्रकाशित होने तक सॉफ़्टवेयर को अक्षम या हटाने की अनुशंसा की जाती है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह OpenBiz Cubi Lite में एक विशिष्ट सुरक्षा कमजोरियों के लिए एक अनूठा पहचानकर्ता है।
यदि आप OpenBiz Cubi Lite संस्करण 3.0.8 का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं।
वर्तमान में, डेवलपर से कोई आधिकारिक फिक्स प्रदान नहीं किया गया है।
यह एक हमला तकनीक है जो हमलावरों को डेटाबेस प्रश्नों में हेरफेर करने की अनुमति देती है।
इनपुट सत्यापन, WAF और गतिविधि निगरानी जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।