प्लेटफ़ॉर्म
php
घटक
asprunner-professional
में ठीक किया गया
6.0.767
CVE-2019-25659 ASPRunner Professional सॉफ़्टवेयर में एक बफर ओवरफ्लो भेद्यता है। इस भेद्यता का उपयोग करके, हमलावर Denial of Service (DoS) का कारण बन सकते हैं, जैसे कि एप्लिकेशन को क्रैश करना। यह भेद्यता ASPRunner Professional के संस्करण 6.0.766–6.0.766 को प्रभावित करती है। फिलहाल, इस समस्या के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2019-25659 ASPRunner Professional संस्करण 6.0.766 को प्रभावित करता है, एक स्थानीय बफर ओवरफ्लो भेद्यता को उजागर करता है। स्थानीय सिस्टम एक्सेस रखने वाला एक हमलावर इस कमजोरी का फायदा उठाकर इनकार-ए-सर्विस (DoS) हमला कर सकता है। यह भेद्यता तब प्रकट होती है जब नए प्रोजेक्ट बनाने के दौरान अत्यधिक लंबा प्रोजेक्ट नाम प्रदान किया जाता है। विशेष रूप से, 'प्रोजेक्ट नाम' फ़ील्ड में 180 या अधिक वर्ण दर्ज करने से एप्लिकेशन क्रैश हो सकता है। यह क्रैश उपयोगकर्ता संचालन को बाधित कर सकता है और सिस्टम की उपलब्धता को प्रभावित कर सकता है। यह समझना महत्वपूर्ण है कि इस भेद्यता के लिए स्थानीय एक्सेस की आवश्यकता होती है, जिसका अर्थ है कि हमलावर को मशीन पर मौजूद होना चाहिए या इसका फायदा उठाने के लिए मान्य क्रेडेंशियल होने चाहिए। प्रभाव की गंभीरता उन अनुप्रयोगों की महत्वपूर्णता पर निर्भर करती है जो ASPRunner Professional के साथ विकसित किए गए हैं और प्रभावित सिस्टम की उपलब्धता।
CVE-2019-25659 का शोषण करने के लिए ASPRunner Professional 6.0.766 चलाने वाले सिस्टम तक स्थानीय एक्सेस की आवश्यकता होती है। यदि किसी हमलावर के पास मशीन तक भौतिक पहुंच है या उसने पर्याप्त विशेषाधिकार वाले उपयोगकर्ता के क्रेडेंशियल से समझौता किया है, तो वह इस भेद्यता का फायदा उठा सकता है। हमले में ASPRunner Professional में एक नया प्रोजेक्ट बनाना और 180 वर्णों से अधिक लंबा प्रोजेक्ट नाम दर्ज करना शामिल है। यह अत्यधिक लंबा नाम मेमोरी में बफर ओवरफ्लो का कारण बनता है, जिसके परिणामस्वरूप एप्लिकेशन क्रैश हो जाता है। हमले की सादगी इसे एक चिंता का विषय बनाती है, खासकर उन वातावरणों में जहां स्थानीय पहुंच को पर्याप्त रूप से नियंत्रित नहीं किया जाता है। आधिकारिक फिक्स की कमी ASPRunner Professional 6.0.766 उपयोगकर्ताओं के लिए जोखिम को बढ़ाती है।
Developers and organizations using ASPRunner Professional version 6.0.766 are at risk. Those who frequently create new projects or allow users to create projects within the ASPRunner Professional environment are particularly vulnerable. Shared hosting environments where multiple users share the same ASPRunner Professional instance are also at increased risk.
• php / server:
grep -r 'Project name field' /path/to/asprunner/logs• php / server:
journalctl -u asprunner -g 'Project name field' |• generic web: Check application logs for crash events related to project creation, specifically looking for errors associated with memory allocation or buffer overflows.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, CVE-2019-25659 के लिए डेवलपर से कोई आधिकारिक फिक्स उपलब्ध नहीं है। प्राथमिक शमन उपाय ASPRunner Professional के नए संस्करण में अपग्रेड करना है, यदि उपलब्ध हो। अपडेट या सुरक्षा पैच के लिए डेवलपर की वेबसाइट देखें। एक अस्थायी उपाय के रूप में, प्रोजेक्ट बनाते समय प्रोजेक्ट नाम की लंबाई को सीमित करने की सिफारिश की जाती है। एप्लिकेशन में इनपुट सत्यापन को लागू करके 'प्रोजेक्ट नाम' फ़ील्ड की अधिकतम लंबाई को प्रतिबंधित करने से बफर ओवरफ्लो को रोकने में मदद मिल सकती है। इसके अतिरिक्त, हमले की सतह को कम करने के लिए ऑपरेटिंग सिस्टम और अन्य अनुप्रयोगों को नवीनतम सुरक्षा पैच के साथ अद्यतित रखना महत्वपूर्ण है। सिस्टम लॉग की निगरानी त्रुटियों या असामान्य व्यवहार के लिए भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है।
Actualice a una versión corregida de ASPRunner Professional. Consulte la documentación del proveedor (Xlinesoft) para obtener información sobre las versiones disponibles y los pasos de actualización. Evite usar la versión 6.0.766 hasta que se aplique la corrección.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
बफर ओवरफ्लो तब होता है जब कोई प्रोग्राम बफर द्वारा धारण किए जा सकने वाले से अधिक डेटा लिखने का प्रयास करता है, जिससे आसन्न मेमोरी क्षेत्रों को ओवरराइट किया जाता है और संभावित रूप से एप्लिकेशन क्रैश हो जाता है या दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति मिलती है।
नहीं, CVE-2019-25659 का फायदा उठाने के लिए डेटाबेस तक प्रत्यक्ष पहुंच की आवश्यकता नहीं है। हमला ASPRunner Professional एप्लिकेशन पर केंद्रित है।
यदि आप ASPRunner Professional संस्करण 6.0.766 का उपयोग कर रहे हैं, तो आप कमजोर हैं। सिस्टम लॉग की निगरानी अप्रत्याशित एप्लिकेशन क्रैश के लिए शोषण प्रयास का संकेत दे सकती है।
एक अस्थायी उपाय के रूप में, प्रोजेक्ट नामों की लंबाई को सीमित करें और एप्लिकेशन में इनपुट सत्यापन को लागू करने पर विचार करें।
इस विशिष्ट भेद्यता को संबोधित करने के अलावा, सुनिश्चित करें कि आपका ऑपरेटिंग सिस्टम और अन्य एप्लिकेशन अद्यतित हैं, मजबूत पासवर्ड का उपयोग करें और महत्वपूर्ण प्रणालियों तक स्थानीय पहुंच को सीमित करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।