Adianti Framework 5.5.0 और 5.6.0 प्रोफाइल के माध्यम से SQL इंजेक्शन

Adianti Framework (संस्करण 5.5.0 और 5.6.0) में CVE-2018-25257 एक महत्वपूर्ण SQL इंजेक्शन जोखिम प्रस्तुत करता है। एक प्रमाणित हमलावर SystemProfileForm फॉर्म में 'नाम' फ़ील्ड में दुर्भावनापूर्ण SQL कोड इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। यह हेरफेर डेटाबेस प्रश्नों को संशोधित करने की अनुमति देता है, जिससे उपयोगकर्ता क्रेडेंशियल्स में परिवर्तन हो सकता है, जिसमें व्यवस्थापक विशेषाधिकार प्राप्त करना भी शामिल है। संभावित प्रभाव में सिस्टम का पूर्ण नियंत्रण, संवेदनशील डेटा का रिसाव और सेवाओं में व्यवधान शामिल हैं। आधिकारिक फिक्स (fix) की कमी स्थिति को बढ़ा देती है, जिसके लिए वैकल्पिक शमन उपायों की आवश्यकता होती है। डेटाबेस सुरक्षा के लिए महत्वपूर्ण वातावरण में यह भेद्यता विशेष रूप से चिंताजनक है।

1. आरक्षित2026-04-12
2. प्रकाशित2026-04-12
3. संशोधित2026-04-13
4. EPSS अद्यतन2026-04-20

चूंकि Adianti Framework डेवलपर द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है, इसलिए CVE-2018-25257 को कम करने के लिए एक सक्रिय और बहुआयामी दृष्टिकोण की आवश्यकता है। सबसे सीधा उपाय Framework के उस संस्करण में अपग्रेड करना है जिसमें इस भेद्यता को पैच किया गया है (यदि उपलब्ध हो)। यदि अपडेट उपलब्ध नहीं है, तो SystemProfileForm के 'नाम' फ़ील्ड पर सख्त इनपुट सत्यापन और सैनिटाइजेशन लागू करें ताकि SQL कोड इंजेक्शन को रोका जा सके। इसके अतिरिक्त, न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें, यह सुनिश्चित करते हुए कि उपयोगकर्ता खातों के पास केवल अपने कार्यों को करने के लिए आवश्यक विशेषाधिकार हों। संदिग्ध गतिविधि के लिए डेटाबेस की निरंतर निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया देने के लिए महत्वपूर्ण है। अंत में, अतिरिक्त सुरक्षा परत के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें।