प्लेटफ़ॉर्म
php
घटक
ask-expert-script
में ठीक किया गया
3.0.6
CVE-2019-25676 Ask Expert Script में एक गंभीर SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को URL पैरामीटरों में हेरफेर करके दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है, जिससे डेटाबेस से संवेदनशील जानकारी चोरी हो सकती है या सर्वर पर मनमाना कोड निष्पादित किया जा सकता है। यह भेद्यता Ask Expert Script के संस्करण 3.0.5 को प्रभावित करती है। सुरक्षा पैच जारी किया गया है, और उपयोगकर्ताओं को तुरंत अपडेट करने की सलाह दी जाती है।
यह SQL इंजेक्शन भेद्यता हमलावरों को Ask Expert Script के डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। वे डेटाबेस से संवेदनशील जानकारी, जैसे उपयोगकर्ता नाम, पासवर्ड और अन्य व्यक्तिगत डेटा निकाल सकते हैं। इसके अतिरिक्त, हमलावर डेटाबेस में डेटा को संशोधित या हटा सकते हैं, या सर्वर पर मनमाना कोड निष्पादित कर सकते हैं। इस भेद्यता का उपयोग वेबसाइट को समझौता करने, उपयोगकर्ताओं को लक्षित करने वाले फ़िशिंग हमलों को लॉन्च करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। यह भेद्यता Log4Shell जैसी अन्य SQL इंजेक्शन भेद्यताओं के समान है, जहां हमलावर डेटाबेस को नियंत्रित करने के लिए SQL क्वेरी को इंजेक्ट कर सकते हैं।
CVE-2019-25676 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन इसकी उच्च CVSS स्कोर और SQL इंजेक्शन भेद्यता की प्रकृति के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य बना हुआ है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों को भेद्यता का फायदा उठाने की अनुमति देते हैं। NVD और CISA ने इस CVE के लिए तारीखें प्रकाशित की हैं, जो इसकी गंभीरता और संभावित जोखिम को उजागर करती हैं।
Websites and applications utilizing the Ask Expert Script version 3.0.5 are at risk. This includes smaller businesses and organizations that may rely on this script for customer support or product information display. Shared hosting environments where multiple websites share the same server instance are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• php / web:
grep -r "cateid=.*?;" /var/www/html/categorysearch.php
grep -r "view=.*?;" /var/www/html/list-details.php• generic web:
curl -I 'http://your-site.com/categorysearch.php?cateid=';
curl -I 'http://your-site.com/list-details.php?view=';disclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (32% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2019-25676 के लिए प्राथमिक शमन उपाय Ask Expert Script के नवीनतम संस्करण में अपडेट करना है, जिसमें भेद्यता को ठीक करने के लिए पैच शामिल है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग URL पैरामीटरों में SQL इंजेक्शन प्रयासों को ब्लॉक करने के लिए किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके SQL इंजेक्शन हमलों के जोखिम को कम किया जा सकता है। सुनिश्चित करें कि सभी डेटाबेस कनेक्शन सुरक्षित हैं और न्यूनतम आवश्यक विशेषाधिकारों के साथ कॉन्फ़िगर किए गए हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, URL पैरामीटरों में SQL इंजेक्शन हमलों का अनुकरण करके।
Actualice a una versión corregida del script Ask Expert. Verifique el sitio web del proveedor o los foros de soporte para obtener información sobre las actualizaciones disponibles. Como no se proporciona una versión corregida, considere deshabilitar o eliminar el script hasta que se publique una actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2019-25676 Ask Expert Script के संस्करण 3.0.5 में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को डेटाबेस जानकारी निकालने या मनमाना कोड निष्पादित करने की अनुमति देती है।
यदि आप Ask Expert Script के संस्करण 3.0.5 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2019-25676 को ठीक करने के लिए, Ask Expert Script के नवीनतम संस्करण में अपडेट करें।
CVE-2019-25676 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन यह शोषण के लिए एक आकर्षक लक्ष्य बना हुआ है।
कृपया Ask Expert Script के आधिकारिक वेबसाइट पर जाएं या सुरक्षा बुलेटिन के लिए उनके सहायता संसाधनों की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।