प्लेटफ़ॉर्म
php
घटक
piluscart
में ठीक किया गया
1.4.2
CVE-2019-25672 PilusCart के संस्करण 1.4.1 में एक SQL Injection भेद्यता है। यह भेद्यता हमलावरों को डेटाबेस क्वेरी को नियंत्रित करने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता PilusCart के संस्करण 1.4.1 को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2019-25672 PilusCart के संस्करण 1.4.1 को प्रभावित करता है, टिप्पणी सबमिशन एंडपॉइंट में 'send' पैरामीटर में एक SQL इंजेक्शन भेद्यता को उजागर करता है। एक गैर-प्रमाणित हमलावर इस कमजोरी का फायदा उठाकर SQL प्रश्नों में हेरफेर कर सकता है, जिससे संभावित रूप से डेटाबेस से संवेदनशील जानकारी निकाली जा सकती है। यह भेद्यता RLIKE-आधारित बूलियन SQL इंजेक्शन पेलोड का उपयोग करती है, जिससे POST अनुरोधों के माध्यम से डेटा निकालने की अनुमति मिलती है। CVSS के अनुसार इस भेद्यता की गंभीरता को 8.2 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। आधिकारिक फिक्स (fix: none) की कमी से स्थिति और खराब हो जाती है, जिससे प्रभावित सिस्टम की सुरक्षा के लिए तत्काल शमन उपायों की आवश्यकता होती है। KEV (नॉलेज एंट्री वैलिडेशन) की अनुपस्थिति का सुझाव है कि यह भेद्यता व्यापक रूप से ज्ञात या सुरक्षा ज्ञान आधार में प्रलेखित नहीं हो सकती है।
यह भेद्यता PilusCart 1.4.1 में टिप्पणी सबमिशन एंडपॉइंट को लक्षित करने वाले POST अनुरोधों के माध्यम से शोषण की जाती है। हमलावर 'send' पैरामीटर में दुर्भावनापूर्ण SQL कोड इंजेक्ट करता है, RLIKE पेलोड का उपयोग करके डेटाबेस से डेटा निकालने वाले बूलियन क्वेरी बनाता है। प्रमाणीकरण की कमी किसी भी हमलावर को इस भेद्यता का फायदा उठाने की अनुमति देती है, भले ही वे पंजीकृत न हों। शोषण की सफलता डेटाबेस कॉन्फ़िगरेशन और मौजूदा सुरक्षा उपायों पर निर्भर करती है। शोषण की जटिलता अपेक्षाकृत कम है, जो इसे पैच किए गए सिस्टम के लिए एक महत्वपूर्ण जोखिम बनाती है।
Organizations and individuals using PilusCart version 1.4.1–1.4.1, particularly those with sensitive customer data or financial information, are at significant risk. Shared hosting environments where multiple websites share the same PilusCart installation are especially vulnerable, as a compromise of one site could potentially impact others.
• php / server:
grep -r 'send parameter' /var/log/apache2/access.log
grep -r 'RLIKE' /var/log/apache2/access.log• generic web:
curl -I 'http://your-piluscart-site.com/comment.php?send=RLIKE' # Check for unusual response headersdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (24% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि PilusCart 1.4.1 में CVE-2019-25672 के लिए कोई आधिकारिक पैच नहीं है, इसलिए शमन उपायों पर रक्षात्मक उपायों पर ध्यान केंद्रित किया गया है। यदि उपलब्ध हो तो PilusCart के नए संस्करण में अपग्रेड करने की जोरदार सिफारिश की जाती है, क्योंकि बाद के संस्करणों में इस भेद्यता को संबोधित किया जा सकता है। इस बीच, सभी उपयोगकर्ता इनपुट, विशेष रूप से 'send' पैरामीटर का सख्त सत्यापन और सफाई करना महत्वपूर्ण है। पैरामीटराइज्ड क्वेरी या संग्रहीत प्रक्रियाओं का उपयोग करके SQL इंजेक्शन को रोकने में मदद मिल सकती है। इसके अतिरिक्त, डेटाबेस एक्सेस को प्रतिबंधित करने और संदिग्ध गतिविधि की निगरानी करने से संभावित हमलों का पता लगाने और उनका जवाब देने में मदद मिल सकती है। दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करें।
Actualice PilusCart a una versión corregida. Verifique las fuentes oficiales de PilusCart para obtener información sobre las actualizaciones disponibles y siga las instrucciones de instalación proporcionadas. Como medida de seguridad adicional, implemente validación y saneamiento de entradas en todas las interacciones del usuario para prevenir futuras inyecciones SQL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो हमलावरों को उपयोगकर्ता इनपुट में दुर्भावनापूर्ण कोड डालकर SQL प्रश्नों में हेरफेर करने की अनुमति देती है।
यदि आप PilusCart संस्करण 1.4.1 का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। यह पुष्टि करने के लिए प्रवेश परीक्षण करें या भेद्यता स्कैनिंग टूल का उपयोग करें।
संदिग्ध गतिविधि के लिए सर्वर लॉग की जांच करें। डेटाबेस पासवर्ड बदलें और अपने सिस्टम की सुरक्षा को मजबूत करने के लिए कदम उठाएं।
आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या भेद्यता स्कैनिंग टूल का उपयोग करके जोखिम को कम करने में मदद कर सकते हैं।
आप नेशनल भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में CVE-2019-25672 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।