प्लेटफ़ॉर्म
other
घटक
school-manage-system
में ठीक किया गया
2020.0.1
स्कूल मैनेज सिस्टम में एक SQL इंजेक्शन भेद्यता पाई गई है, जो ALLE INFORMATION CO., LTD. द्वारा विकसित किया गया है। यह भेद्यता हमलावरों को डेटाबेस स्कीमा और उपयोगकर्ता नाम/पासवर्ड जैसी संवेदनशील जानकारी प्राप्त करने की अनुमति दे सकती है। 2020 से पहले के संस्करण इस भेद्यता से प्रभावित हैं, और संस्करण 2020 में इसे ठीक कर दिया गया है।
SQL इंजेक्शन भेद्यता के माध्यम से, एक हमलावर स्कूल मैनेज सिस्टम के डेटाबेस तक अनधिकृत पहुंच प्राप्त कर सकता है। वे डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं, जैसे कि छात्रों के रिकॉर्ड, शिक्षकों की जानकारी, और वित्तीय डेटा। इसके अतिरिक्त, हमलावर डेटाबेस को संशोधित या हटा भी सकते हैं, जिससे सिस्टम की कार्यक्षमता बाधित हो सकती है और डेटा हानि हो सकती है। यह भेद्यता विशेष रूप से गंभीर है क्योंकि यह हमलावरों को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकती है।
CVE-2020-10505 को सार्वजनिक रूप से 15 अप्रैल, 2020 को खुलासा किया गया था। इस भेद्यता का शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इसे हमलावरों के लिए शोषण करने में आसान बनाता है। इस भेद्यता की संभावना को मध्यम माना जाता है, क्योंकि यह व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर में मौजूद है और इसके लिए विशेष कौशल की आवश्यकता नहीं होती है।
Schools and educational institutions utilizing the School Manage System are at significant risk. Organizations relying on older, unpatched versions of the system, particularly those with limited security resources or those running the system on shared hosting environments, are especially vulnerable. Any deployment of School Manage System before version 2020 is considered at risk.
• linux / server: Monitor web server access logs for unusual SQL queries containing keywords like UNION, SELECT, INSERT, UPDATE, DELETE. Use journalctl to review application logs for SQL errors or suspicious activity.
journalctl -u school_manage_system -f | grep "SQL error"• generic web: Use curl to test endpoints for SQL injection vulnerabilities by injecting malicious SQL code into input fields. Examine response headers for SQL error messages.
curl -d 'username=';'password=UNION SELECT version(),user(),database()--' http://schoolmanagesystem/login.phpdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.31% (54% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, स्कूल मैनेज सिस्टम को संस्करण 2020 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग जैसी सुरक्षित कोडिंग प्रथाओं को लागू करने से भविष्य में इस प्रकार की भेद्यताओं को रोकने में मदद मिल सकती है। डेटाबेस एक्सेस को सीमित करना और मजबूत पासवर्ड का उपयोग करना भी महत्वपूर्ण है।
School Manage System को 2020 या बाद के संस्करण में अपडेट करें। यह SQL Injection भेद्यता को ठीक कर देगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2020-10505 स्कूल मैनेज सिस्टम में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।
यदि आप स्कूल मैनेज सिस्टम के 2020 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
स्कूल मैनेज सिस्टम को संस्करण 2020 या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2020-10505 का शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, इसलिए यह सक्रिय रूप से शोषण किए जाने की संभावना है।
ALLE INFORMATION CO., LTD. की वेबसाइट पर जाएं या भेद्यता के बारे में अधिक जानकारी के लिए NVD डेटाबेस देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।