प्लेटफ़ॉर्म
php
घटक
concretecms
में ठीक किया गया
9.2.5
CVE-2024-1247 Picklescan लाइब्रेरी में एक गंभीर भेद्यता है जो रिमोट कोड एग्जीक्यूशन (RCE) की अनुमति देती है। यह भेद्यता _operator.methodcaller फ़ंक्शन के असुरक्षित उपयोग के कारण होती है, जिससे हमलावर दुर्भावनापूर्ण पिकल फ़ाइलों को निष्पादित कर सकते हैं। यह भेद्यता Picklescan के संस्करण 0.0.9 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 0.0.34 में इस समस्या का समाधान किया गया है।
CVE-2024-1247 Concrete CMS के 9.2.5 से पहले के संस्करणों को प्रभावित करता है, जिससे संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता उत्पन्न होती है। यह भेद्यता उपयोगकर्ता भूमिका प्रबंधन में “भूमिका नाम” फ़ील्ड में मौजूद है। एक दुर्भावनापूर्ण व्यवस्थापक इस फ़ील्ड में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जो तब निष्पादित होगा जब अन्य उपयोगकर्ता प्रभावित पृष्ठों पर जाएँगे। इस समस्या की गंभीरता मध्यम है, क्योंकि इसका शोषण करने के लिए व्यवस्थापक विशेषाधिकारों की आवश्यकता होती है, लेकिन इसका प्रभाव अन्य उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट के निष्पादन का कारण बन सकता है, जिससे जानकारी की गोपनीयता और अखंडता से समझौता हो सकता है। इस जोखिम को कम करने के लिए 9.2.5 या उच्चतर संस्करण में अपग्रेड करना महत्वपूर्ण है। 9 से पहले के संस्करण प्रभावित नहीं हैं।
यह भेद्यता भूमिका प्रबंधन में “भूमिका नाम” फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करके शोषण किया जाता है। एक व्यवस्थापक व्यवस्थापन पैनल तक पहुँचकर इस फ़ील्ड को संशोधित कर सकता है और दुर्भावनापूर्ण कोड के साथ भूमिका को सहेज सकता है। जब कोई उपयोगकर्ता (या भूमिका बनाने वाला व्यवस्थापक) उस पृष्ठ पर जाता है जहाँ भूमिका का नाम प्रदर्शित होता है, तो जावास्क्रिप्ट कोड उपयोगकर्ता के ब्राउज़र संदर्भ में निष्पादित होता है, जिससे हमलावर कुकीज़ चुराने, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या पृष्ठ की सामग्री को संशोधित करने जैसे कार्य कर सकता है। शोषण की जटिलता मध्यम है, क्योंकि इसके लिए व्यवस्थापक विशेषाधिकारों की आवश्यकता होती है, लेकिन प्रभाव महत्वपूर्ण हो सकता है।
एक्सप्लॉइट स्थिति
EPSS
8.20% (92% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-1247 के लिए समाधान सरल है: Concrete CMS को 9.2.5 या उच्चतर संस्करण में अपग्रेड करें। इस अपडेट में “भूमिका नाम” फ़ील्ड में दर्ज किए गए डेटा को सही ढंग से मान्य करने के लिए आवश्यक फिक्स शामिल हैं, जिससे दुर्भावनापूर्ण कोड का इंजेक्शन रोका जा सकेगा। विशेष रूप से उत्पादन वातावरण में, इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, मौजूदा उपयोगकर्ता भूमिकाओं की जाँच करें ताकि यह सुनिश्चित किया जा सके कि कोई भूमिका नाम समझौता नहीं किया गया है। किसी भी CMS प्रणाली की सुरक्षा बनाए रखने के लिए नियमित रूप से सुरक्षा पैच लागू करना एक मूलभूत अभ्यास है।
Actualice Concrete CMS a la versión 9.2.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en el campo 'Role Name'. La actualización se puede realizar a través del panel de administración de Concrete CMS o descargando la última versión del sitio web oficial.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
संग्रहीत (या स्थायी) XSS का अर्थ है कि दुर्भावनापूर्ण स्क्रिप्ट सर्वर (जैसे, डेटाबेस में) संग्रहीत है और प्रत्येक बार जब कोई उपयोगकर्ता प्रभावित पृष्ठ पर जाता है तो यह निष्पादित होता है।
यदि आप Concrete CMS के 9.2.5 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपकी वेबसाइट में भेद्यता है। कृपया जल्द से जल्द अपडेट करें।
यदि आपको संदेह है कि आपकी वेबसाइट से समझौता किया गया है, तो तुरंत सभी व्यवस्थापकों के पासवर्ड बदलें और व्यापक सुरक्षा ऑडिट करें।
अपडेट के अलावा, मजबूत सुरक्षा नीतियों को लागू करें, व्यवस्थापकों को सुरक्षा सर्वोत्तम प्रथाओं के बारे में शिक्षित करें और हमलों का पता लगाने और रोकने के लिए सुरक्षा उपकरणों का उपयोग करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।