प्लेटफ़ॉर्म
php
घटक
resourcespace
में ठीक किया गया
8.6.1
ResourceSpace 8.6 में एक गंभीर SQL इंजेक्शन भेद्यता पाई गई है। यह भेद्यता हमलावरों को 'collection_edit.php' फ़ाइल में 'keywords' पैरामीटर के माध्यम से दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है। इस भेद्यता का उपयोग करके, हमलावर संवेदनशील डेटाबेस जानकारी, जैसे स्कीमा नाम, उपयोगकर्ता क्रेडेंशियल और अन्य गोपनीय डेटा निकाल सकते हैं। प्रभावित संस्करण 8.6 है। सुरक्षा पैच जारी किया गया है, और उपयोगकर्ताओं को तुरंत अपडेट करने की सलाह दी जाती है।
यह SQL इंजेक्शन भेद्यता ResourceSpace डेटाबेस के लिए एक गंभीर खतरा है। हमलावर डेटाबेस से संवेदनशील जानकारी निकालने के लिए इस भेद्यता का उपयोग कर सकते हैं, जिसमें उपयोगकर्ता नाम, पासवर्ड, और अन्य गोपनीय डेटा शामिल हैं। वे डेटाबेस को संशोधित या नष्ट भी कर सकते हैं, जिससे सेवा में व्यवधान हो सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को ResourceSpace इंस्टेंस में प्रमाणित होना आवश्यक है। वे 'collection_edit.php' फ़ाइल में एक POST अनुरोध भेजेंगे, जिसमें 'keywords' फ़ील्ड में दुर्भावनापूर्ण SQL पेलोड शामिल होगा। यदि पेलोड सफल होता है, तो हमलावर डेटाबेस से जानकारी निकाल पाएगा। यह भेद्यता Log4Shell जैसे अन्य डेटा एक्सफ़िल्ट्रेशन हमलों के समान है, जहां एक हमलावर एक कमजोर बिंदु का फायदा उठाकर डेटाबेस से जानकारी निकालता है।
CVE-2019-25693 को अभी तक व्यापक रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन SQL इंजेक्शन भेद्यता की गंभीरता को देखते हुए, यह संभावित रूप से शोषण के लिए खुला है। इस CVE को KEV में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन सक्रिय अभियान की कोई रिपोर्ट नहीं है। NVD और CISA ने इस CVE के लिए तारीखें प्रकाशित की हैं, जो 2026-04-12 को सार्वजनिक की गई थी।
Organizations using ResourceSpace 8.6, particularly those with sensitive data stored in their databases, are at risk. Environments with weak password policies or compromised user accounts are especially vulnerable, as an attacker could leverage these credentials to exploit the SQL injection flaw.
• php / server:
grep -r 'keywords parameter in collection_edit.php' /var/www/html/• generic web:
curl -X POST -d "keywords='; DROP TABLE users;--" http://your-resourcespace-instance/collection_edit.php | grep -i 'error in your query'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2019-25693 को कम करने के लिए, ResourceSpace को नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है जिसमें सुरक्षा पैच शामिल है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'collectionedit.php' फ़ाइल में 'keywords' पैरामीटर के माध्यम से SQL इंजेक्शन हमलों को ब्लॉक कर सकते हैं। WAF को SQL इंजेक्शन पैटर्न की पहचान करने और उन्हें ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, आप 'keywords' पैरामीटर के इनपुट को मान्य करके और सैनिटाइज करके SQL इंजेक्शन हमलों के जोखिम को कम कर सकते हैं। सभी उपयोगकर्ता इनपुट को हमेशा मान्य और सैनिटाइज किया जाना चाहिए। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक किया गया है, 'collectionedit.php' फ़ाइल में SQL इंजेक्शन पेलोड का परीक्षण करके सत्यापन करें।
ResourceSpace को एक ठीक किए गए संस्करण में अपडेट करें। विशिष्ट अपडेट और सुरक्षा पैच लागू करने के निर्देशों के लिए ResourceSpace के आधिकारिक दस्तावेज़ या वेबसाइट देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2019-25693 ResourceSpace 8.6 में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को संवेदनशील डेटाबेस जानकारी निकालने की अनुमति देती है।
यदि आप ResourceSpace 8.6 का उपयोग कर रहे हैं, तो आप प्रभावित हैं। नवीनतम संस्करण में अपडेट करें।
ResourceSpace को नवीनतम संस्करण में अपडेट करें जिसमें सुरक्षा पैच शामिल है। WAF का उपयोग करें और इनपुट को मान्य करें।
CVE-2019-25693 को अभी तक व्यापक रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह संभावित रूप से शोषण के लिए खुला है।
ResourceSpace वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।