अरुन्ना 1.0.0 - 'मल्टीपल' क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF)

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता के ज्ञान के बिना उनके खाते को नियंत्रित करने की अनुमति देती है। हमलावर दुर्भावनापूर्ण फॉर्म बनाकर उपयोगकर्ता विवरण, जैसे पासवर्ड, ईमेल पता और प्रशासनिक विशेषाधिकार बदल सकते हैं। यह डेटा उल्लंघन, अनधिकृत पहुंच और सिस्टम नियंत्रण के नुकसान का कारण बन सकता है। चूंकि यह भेद्यता प्रमाणीकरण के बिना शोषण की अनुमति देती है, इसलिए इसका प्रभाव काफी व्यापक हो सकता है, खासकर यदि अरुण्ना का उपयोग संवेदनशील डेटा को प्रबंधित करने के लिए किया जाता है।

Organizations and individuals using Arunna version 1.0.0 are at direct risk. Specifically, environments where Arunna is deployed with default configurations or where user accounts have elevated privileges are particularly vulnerable. Shared hosting environments utilizing Arunna should be carefully monitored and secured.

• php / web:

curl -I <arunna_url>/profile.php | grep -i 'csrf-token'

• generic web:

curl -I <arunna_url>/profile.php | grep -i 'set-cookie'

• generic web:

 grep -r 'profile.php' /var/log/apache2/access.log | grep -i 'csrf-token'

1. 2026-01-15Disclosure

   disclosure

1. आरक्षित2026-01-10
2. प्रकाशित2026-01-15
3. संशोधित2026-04-07
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, अरुण्ना के नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है जिसमें सुरक्षा पैच शामिल है। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन को लागू करने पर विचार करें, जो प्रत्येक अनुरोध के साथ एक अद्वितीय, अप्रत्याशित टोकन जोड़ता है। यह सुनिश्चित करता है कि केवल प्रमाणित और अधिकृत उपयोगकर्ता ही अनुरोध सबमिट कर सकते हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों का पता लगाने और उन्हें ब्लॉक करने के लिए किया जा सकता है।